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Abstract of corresponding docunnent: EP0356065 
Arrangements are disclosed for validating that 
key management functions requested for a 
cryptographic key by the program have been 
authorised by the originator of the key. The 
invention includes a cryptographic facility 
characterised by a secure boundary through 
which passes an input path for receiving the 
cryptographic service requests, cryptographic 
keys and their associated control vectors, and an 
output path for providing responses thereto. 
There can be included within the boundary a 
cryptographic instruction storage coupled to the 
input path, a control vector checking unit and a 
cryptographic processing unit coupled to the 
instruction storage, and a master key storage 
coupled to the processing means, for providing a 
secure location for executing key management 
functions in response to the received service 
requests. The cryptographic instruction storage 
receives over the input path a cryptographic 
service request for performing a key 
management function on a cryptographic key. 
The control vector checking unit has an input 
coupled to the input path for receiving a control 
vector associated with the cryptographic key and 
an input connected to the cryptographic 
instruction storage, for receiving control signals to 
initiate checking that the control vector authorises 
the key management function which is requested 
by the cryptographic service request. The control 
vector checking unit has an authorisation output 
connected to an input of the cryptographic 
processing means, for signalling that the key 
management function is authorised, the receipt of 
which by the cryptographic processing unit 
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initiates the performance of the requested key 
management function with the cryptographic key. 
The invention enables the flexible control of many 
cryptographic key management functions in the 
generation, distribution and use of cryptographic 
keys, while maintaining a high security standard. 



Data supplied from the esp^cenef database - Worldwide 



http://v3.espacenet.com/textdoc?DB=EPODOC&IDX=DE68926005T&F=0 



8/18/2008 



DEUTSCHLAND 



BUNDESREPUBLiK (g) Obersotzung dor 

europSischen Patentschrift 

® EP 0 356065 B1 

(3§>DE 68926005 T2 



® Int. Cl«: 

H04L9/08 




DEUTSCHES 
PATENTAIVrr 



Deutsches Aktenzeichen: 689 26 005.S 

' Europaisches Aktenzeichen: 89 308 068.! 
Europaischer Anmeldetag: 9. 8.89 

Erstverdffentlichung durch das EPA: 28. 2. 90 
Verdffentlichungstag 

der Patenterteilung beim EPA: 20. 3. 96 

@ Verdffentlichungstag Im Patentblatt: 17. 10. 96 



CM 

8 

CD 
CM 



Ul 

O 



@ Unionsprioritat: @ @ @ 



11.08.88 US 231114 
26.08.88 US 237938 



29.08.88 US 238010 
18.08.88 US 233515 



(§) Patentlnhaber: 

International Business Machines Corp., Armonk, 
N.Y., US 

® Vertreter: 

Teufel, P., Dipl.-Phys., Pat.-Anw., 70569 Stuttgart 

@ Benannte Vertragstaaten: 
DE, FR, GB, IT, NL 



(§) Erfinder: 

Matyas, Stephen M., Manassas, VA 22110, US; 
Abraham, Dennis G., Concord North Carolina. US; 
Johnson, Donald B., Manassas, VA 221 1 1 , US; 
Kama, Ramesh K., Hemdon, VA 22071, US; Le, An 
v., Arlington, VA 22204, US; Prymak, Rostislaw, 
Dumfries Virginia, US; Thomas, Julian, 
Poughkeepsie; NY 12603, US; Wilkins, John D., 
Somerville, VA 22739, US; Yeh, Phil C, 
Poughkeepsie, NY 12603, US; Smith, Ronald M., 
Wappingers Falls, NY 12590, US; White, Steve R., 
New York, NY, US; Arnold, William C, Mahopac, NY 
10541, US 



@ Sichere Schlusselverwaltung mittels Steuervektoren 



CM 

H 

s 
s 

CO 
Ul 



Anmerkung: Innerhalb von neun Monaten nach der Bekanntmachung des Hinweises auf die 
Erteilung des europaischen Patents kann jedermann beim Europalschen Patentamt gegen das 
erteiite europiische Patent Einspruch einlegen. Der Einspruch ist schriftlich einzurelchen und 
zu begrunden, Er gilt erst als eingelegt, wenn die Einspruchsgebuhr entrichtet worden ist 
(Art. 99(1) Europaisches Patentubereinkommen). 



Die Obersetzung ist gemSfi Artikel 11 S3 Abs. 1 IntPatOG 1991 vom Patentinhaber eingereicht 
worden. Sie wurde vom Deutschen Patentamt inhaltlich nicht gepruft. 



BUNOESDRUCKEREI 08.96 602342/47 



1 



1 



BESCHREIBUNG 



SICHERE SCHLOSSELVERWALTUNG MITTELS STEUERVEKTOREN 

Die vorliegende Erfindung betrifft die sichere SchlCsselverwal- 
tiing mit:t:el6 S1:euervek1:oren . 

Die kryptographische Umwandlung von Daten ist gewShnlich dvirch 
einen ausgewShlten Algorithmus oder eine Prozedxir definiert. Da 
der Algorithmus in der Regel allgemein bekannt ist, hSngt die 
Sicherheit der xmgewandelten, d.h. verschliisselten, Daten von 
der Geheimhaltung des SchlOssels ab. Der SchlQssel muB also ge- 
heimgehalten werden, damit ein Gegner nicht einfach den bekann- 
ten Algorithmus und den Schlussel zur Dechif frierxing der Daten 
verwenden kann. Die Sicherheit der Daten steht und ffillt deshalb 
mit der Sicherheit von sicheren Schlilsseln. 

Die Schltisselverwaltung umfaBt die Vorr ichtungen , Funktionen und 
Prozeduren in einem Chif friersystem, die dazu dienen, Chiffrier- 
schlttssel und schliisselbezogene Inf ormationen so zu verwalten, 
daB die Sicherheit und Integritat der Schiassel gewShrleistet 
ist. 



Zur Unterstatzung der primfiren VerschlOsselungsanforderungen 
^ eines Benutzers oder eines Hostsystems verfOgt die SchlOsselver- 
waltungsvorrichtung des Systems in der Regel Qber verschiedene 
FShigkeiten einschlieBlich Installation, Speicherung und Gene- 
rierung der SchlOssel sowie Schiassel vertei lung fQr den Import 
vmd den Export von Schldsseln. 

In alien Fallen ist das allgemeine Ziel die Verhinderung unbe- 
fugter Ermittlung oder Veranderung von Chif f rierschlOsseln . 

Da chiffrierte Daten zwischen Systemen mit dem gleichen 
Chiffrieralgorithmus ausgetauscht werden kdnnen, kann die M5g- 
lichkeit der Versendung eines oder mehrerer geheimer Schiassel 
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erforderlich sein. Zuin Schutz der VertraulichXeit eines geheiiaen 
Schlussels wdhrend der Obermittlung vom Urheber zum vorgesehenen 
Empf anger muB der SchlUssel selber mit einem anderen geheiiaen 
Schiassel (der dem Sender und dem Empfdnger bereit:s bekannt ist) 
verschlQsselt werden. Es mfissen Schltisselvertellungsprotokolle 
definiert werden, urn den kompatiblen slcheren Austausch von 
Schiasseln zwischen Chif friersystemen zu eriaSglichen. 

Die Speicherung von Schiasseln auf einem unsicheren Medium (d.h. 
die Speicherung auBerhalb eines sicheren Bereichs) macht es er- 
forderlich, die Schiassel selber zu chiffrieren. Beim Haupt- 
schlusselprinzip werden alle von einem Chif f riersystem verwende- 
ten Schlussel in verschlilsselter Form unter einem einzigen 
SchlQssel, dem sogenannten Hauptschlussel , gespeichert. Der 
Hauptschiassel selbst: muB vor unbefugter Dechif f rierung und vor 
Verfinderung geschatzt werden. In der Kegel stehen nichtkrypto- 
graphische Mittel zum Schutz des Hauptschlilssels zur Verfttgung 
(z.B. eine physische Zugrif fskontrolle) . 

Derzeitige Verfahren zur Generierung und Verteilung von Chiff- 
rierschlUsseln werden in dem Artikel im ICL Technical Journal, 
Bd. 4, Nr. 2, November 1984, s. 146 - 158, beschrieben. 

Nach dem Stand der Technik gibt es kein praktisches und f lexi- 
bles SchlQsselverwaltungssystem mit hohen Datensicherheitsstan- 
dards • 

Ein Ziel der vorliegenden Erfindung ist deshalb die Integritat 
des Chiffrieralgorithmus und bestimmter hoherer Chif frier funk- 
tionen. Dieses Ziel erreicht die Erfindung gemSB Anspruch 1. 

Mittels der vorliegenden Erfindung kann die Integritat gespei- 
chert er Oder verteilter Schiassel gesichert, der MiBbrauch ge- 
speicherter oder verteilter Schiassel (wie z,B. die Verwendung 
eines Vertraulichkeitsschiassels als Identif ikationsaber- 
praf ungsschiassel ) verhindert, die Verwendung gespeicherter oder 
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verteilter SchlQssel eingeschrSnkt (z.B. nur zur Identifika- 
tLionsOberprafung) , eine sichere Installation des Hauptschliissels 
und anderer manuell installlerter Schlusselchif f rierschlUssel 
gewShrlelstet und die Generierung neuer Schltissel- und Daten- 
chiffrierschiassel abgesichert werden. 

Im folgenden wird ein Ausfahrungsbeispiel der vorliegenden Er- 
findung beschrieben, das hier als Chif f rierarchitektur (CA) be- 
zeichnet wird und als in einem Datenverarbeitungssysteia imple- 
mentiert erl&utert wird. Das System fflhrt ein Programia aus, das 
Chiffrierserviceanforderungen zur Verwaltung von Chif frier- 
schlusseln ausgibt, die Steuervektoren zugeordnet sind, welche 
die Funktionen festlegen, zu welchen Funktionen die einzelnen 
Schiassel von ihrem Urheber ermachtigt wurden, Bei diesem Ver- 
fahren wird gepraft, ob die Schlttsselverwaltungsf unktionen, die 
vom Programm fflr einen Chif frierschlflssel angefordert wurden^ 
vom Urheber des SchlUssels autorisiert sind. 

Die Chiffriervorrichtung ist durch eine sichere Grenze gekenn- 
zeichnet^ durch die ein Eingangspfad zum Empfang der Chiffrier- 
serviceanforderungen der ChiffrierschlQssel und der zugeordneten 
Steuervektoren sowie ein Augangspfad fiir die entsprechenden Ant- 
worten verlSuft. Innerhalb der Grenze kdnnen sich ein an den 
Eingangspfad gekoppelter Chif frieranweisungsspeicher, ein Mittel 
^ zur Priifung der Steuervektoren, ein an den Anweisungsspeicher 
gekoppeltes Chif f rierverarbeitungsmittel sowie ein an das Ver- 
arbeitiingsmittel gekoppelter Hauptschlusselspeicher , in dera 
SchlQsselverwaltungsfxinktionen als Antwort auf die eiapfangenen 
Serviceanforderungen sicher ausgefOhrt werden konnen, befinden. 

Der Chiffrieranweisungsspeicher eapfSngt Clber den Eingangspfad 
eine Chif f rierserviceanforderung zur Ausftihrung einer Schltissel- 
verwaltungsfxinktion mit einem Chif frierschiassel. Das Mittel zur 
Prafung des Steuervektors hat einen an den Eingangspfad ange- 
schlossenen Eingang zum Empfang eines dem Chif f rierschltissel 
zugeordneten Steuervektors und einen an den Chif frieranweisungs- 
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speicher angeschlossenen Eingang zum Empfang der Steuersignale 
zum Starten der PrUfung, ob der Steuervektor zu der SchlUssel- 
verwaltungsfunktion berechtlgt> die von der Chif frierservicean- 
forderung angefordert wurde. 

Das System enthalt ferner ein Mittel zur Speicherung von Chiff- 
rierschiasseln , das Ober den Eingangs- und den Ausgangspfad an 
die Verschldsseliingsvorrichtung angeschlossen ist. In diesem 
Speichermittel wird der Chif f rierschliissel in einer verschlus- 
selten Form gespeichert^ bei der der Chif f rierschiassel unter 
dem Speicherschlttssel chiffriert ist, der ein logisches Produkt 
des zugeordneten Steuervektors und eines im Hauptschiasselspei- 
cher gespeicherten Hauptschlussels ist. 

Der Chiffrieranweisungsspeicher kann beispielsweise liber den 
Eingangspfad eine Chif frierserviceanforderung zur Wiederherstel- 
lung des Chiff rierschlttssels aus dem Chif frierschldsselspeicher- 
mittel empfangen, und das Mittel zur Oberprttfung des Steuervek- 
tors sendet dann als Antwort darauf ein Berechtigungssignal an 
das Chiffrierverarbeitungsmittel, das besagt, daB die Funktion 
zur Wiederherstellung des Chif f rierschiassels zugelassen ist. 
Das Chiffrierverarbeitungsmittel empfangt dann als Antwort auf 
das Berechtigungssignal die verschlttsselte Form des Chiffrier- 
schltlssels aus dem Chif frierschiasselspeichermittei und dechif f- 
riert die verschltisselte Form unter dem Speicherschiassel , der 
ein logisches Produkt aus dem zugeordneten Steuervektor und dem 
im HauptschlQsselspeicher gespeicherten Hauptschlttssel ist. 

Der Steuervektor enthalt Felder, in denen zulSssige Arten von 
Chiffrierfunktionen einschlieBlich Schlfisselverwaltungsfunktio- 
nen, Datenchif frier- und Datendechif frierfunktionen und Funktio- 
nen zur Verarbeitung personlicher Identif ikationszahlen festge- 
legt sind. Der zugehorige Steuervektor enthalt auBerdem Felder, 
in denen die Exportkontrolle und die Verwendung der SchlQssel 
definiert ist. Diese verschiedenen Felder erzwingen die Trennung 
verschiedener SchlUsselarten mit Verwendtmgszwecken, die sich 
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gegenseitig ausschlieBen sollten, damit die Sicherheit des Sy- 
stems gewShrleistet ist. 

Das beschriebene Verfahren ermdglicht die flexible Steuerung 
zahlreicher Chif frierschltissel-Verwaltungsfunktionen bei der 
Generierimg, Verteilung und Verwendung von Chif f rierschiasseln 
unter Wahrung eines hohen Sicherheitsstandards . 

Unter einem anderen Gesichtsptmkt liefert die vorliegende Erfin- 
dung of fensichtlich auch ein System Oder eine Vorrichtung zur 
DurchfQhrung des VerfeOirens, 

Im folgenden wird die vorliegende Erf indung mit Hilf e der bei- 
geftigten Zeichnungen anhand eines Ausf uhrungsbeispiels exempla- 
risch beschrieben. 

Fig, 1 ist ein Systemdiagramm der Hauptkoraponenten der Chiff- 
riervorrichtung (CF) . 

Fig. 2 ist ein Systemdiagramm der Komponenten der Chif f riervor- 
richtung CF, des Sof tware-Treibers CFAP und verschiedener Anwen- 
dungsprogramme zur Chif frierung. 

In Fig. 3 ist dargestellt, wo steuervektoren in verschiedenen 
systemiibergreifenden Kommunikationskonstellationen angewendet 
werden • 

In Fig. 4 ist die fundamentale Einteilung der Chif f rierschlttssel 
skizziert. 

In Fig. 5 ist die Einteilxing der Datenschlttssel dargestellt. 

Fig. 6 zeigt die Einteilung der persdnlichen Identif ikationszah- 
len PIN. 

Fig. 7 zeigt die Einteilung der Schlttsselchif frierschlussel. 
MA9-88-011 



Fig. 8 ist eine Zusainiaenf assung der relativen Priori taten bei 
der Iniplemen1:ierung der verschiedenen Arten der Schlusseleintei- 
lung. 

Fig. 9 enthalt eine Zusammenfassung der Gliederxing fClr jede der 
definierten Schlusselarten . 

Fig. 10 zeigt: das allgemeine Format fQr Steuervektoren (CV). 

In Fig. 11 ist das CV-Format fur VertraulichkeitsschlQssel dar- 
gestellt. 

In Fig. 12 ist das Verfaliren zur Chiffrierung eines Schltissels K 
unter dein Hauptschliissel mit einem eirweiterten Steuervektor dar- 
gestellt. 

In Fig. 13 ist das CV-Format fUr MAC-SchlCissel dargestellt. 

In Fig. 14 ist das CV-Format filr Daten/Kompatibilitatsschltlssel 
dargestellt. 

In Fig. 15 ist das CV-Format fOr Daten/Umwandlungschlussel (XLT- 
Schiassel ) dargestellt . 

In Fig. 16 ist das CV-Format fOr ANSI-DatenschlOssel darge- 
stellt. 

In Fig. 17 ist das CV-Format ftlr PIN-Chif frierschlttssel darge- 
stellt. 

In Fig. 18 ist das CV-Format far PIN-Generiervmgsschiassel dar- 
gestellt. 

In Fig. 19 ist das CV-Format far Schiasselchif f rierschiassel 
(K£K) des Senders dargestellt. 
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In Fig, 20 ist das CV-Format ftir KEK des Empf angers dargestellt. 

In Fig. 21 ist das CV-Format filr ANSI-KEKs dargestellt. 

In Fig. 22 ist das CV-Pormat fttr Schiasselteile dargestellt. 

In Fig. 23 ist das CV-Format ftir Zwischen-ICVs dargestellt. 

In Fig. 24 ist das CV-Format far Tokens dargestellt. 

Fig. 25 ist ein Blockdiagramm der Codieranweisung. 

Fig. 26 ist ein Blockdiagramm der Decodieranweisung. 

Fig. 27 ist ein Blockdiagramm der Chif frieranweisung. 

Fig. 28 ist ein Blockdiagramm der Dechif frieranweisung. 

Fig. 29 ist ein Blockdiagramm der Anweisung "Meldungsidentif ika- 
tions-Oberprafungscode generieren" (GMAC). 

Fig. 30 ist ein Blockdiagramm der Anweisung "Meldungsidentif ika- 
tions-OberprHfungscode ttberprdfen" (VHAC). 

KT Fig. 31 ist ein Blockdiagramm der Anweisung "Chiffretext umwan- 
deln" . 

In Fig. 32 sind die Arten und Unterarten von SchlUsseln aufgeli- 
stet, die fQr jeden Modus der Anweisung "Schiasselsatz generie- 
ren" (GKS) generiert werden kdnnen. 

Fig. 3 3 ist ein Blockdiagramm der Anweisung "Schlusselsatz gene- 
rieren" . 

In Fig. 34 sind die zulMssigen Kombinationen von CV- Arten far 
das durch GKS OP-OP-Modus generierte Schiasselpaar aufgefahrt. 
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In Fig. 35 sind die zulassigen Kombinationen von linken und 
rech'ten CV-Attributen von in den verschiedenen Modi von GKS ver- 
wende1:en Import- und Export-KEKs aufgefOhrt. 

Fig. 36 ist eine Liste der zulassigen Koxabinat:ionen von CV- 
SchlUsselformen und Verbindungssteuerungen fur Paare von durch 
verschiedene Modi von GKS generierten importierten oder expor- 
tierten SchlUsseln. 

Fig. 37 ist eine Tabelle der zulSssigen Koiabinationen von CV- 
Arten fOr das durch GKS OP-IM-Modus generierte Schiasselpaar • 

Fig. 38 ist ein Blockdiagranmi der Anweisung "Umchif f rieren vom 
Hauptschiassel" . 

Fig. 39 ist ein Blockdiagramm der Anweisung "Umchif f rieren unter 
den Hauptschiassel". 

Fig. 40 ist ein Blockdiagramm der Anweisung "SchlUssel generie- 
ren" . 

Fig. 41 ist ein Blockdiagramm der Anweisung "Unter Hauptschlus- 
sel chiff rieren" . 

Fig. 42 ist ein Blockdiagramm der Anweisung "Schiassel umwan- 
deln" . 

Fig. 43 ist eine Tabelle der zulassigen Kombinationen von linken 
bzw. rechten CV-Schiasselformattributen far Import- und Export- 
KEKs, die in der Anweisung "Schlfissel umwandeln" verwendet wer- 
den. 

Fig. 44 ist das Blockdiagramm fQr Modus 0 (Schltlsselmodus) der 
Anweisung "Umchif f rieren unter den neuen HauptschlUssel" . 
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Fig. 45 ist das Blockdiagraim fiir Modus 1 (Tokenmodus) der An- 
weisung ••Umchif f rieren unter den neuen Hauptschliissel" . 

Fig, 46 ist das Blockdiagraim far Modus 0 ( Schiasselmodus ) der 
Anweisung "Umchif f rieren unter den aktuellen HauptschlQssel". 

Fig, 47 ist das Blockdiagramm fiir Modus 1 (Tokenmodus) der An- 
weisung "Umchif frier en unter den aktuellen Hauptschiassel" . 

Fig. 48 und Fig. 49 sind Blockdiagramme der Anweisung "ANSI Par- 
tiellen Beglaubigungsschiassel erstellen". 

Fig. 50 ist das Blockdiagramm fOr die Anweisung "ANSI Umchif f- 
rieren vom Hauptschiassel" (ARFMK) . 

In Fig. 51 sind die zulassigen CV-Verwendungsattribute far einen 
durch ARFMK zu exportierenden Datenschiassel aufgeftthrt. 

In Fig. 52 sind die zulassigen Kombinationen von CV-Art vind 
Schlusselform far die linke bzw. rechte Halfte des Export-KEK 
und von den entsprechenden Attributen des in der Anweisung ARFMK 
2u exportierenden Schiassels aufgefuhrt. 

Fig. 53 ist eine Tabelle der zulassigen CV-Verwendungsattribute, 
die fOr den als Nebenprodukt von ARFMK erzeugten CSM MAC-Schias- 
sel angegeben werden kdnnen. 

Fig. 54 ist das Blockdiagramm far die Anweistmg "ANSI Umchif f- 
rieren unter den Hauptschiassel" (ARTMK) . 

In Fig. 55 sind die zulassigen CV-Verwendungsattribute far einen 
durch ARTMK zu import ierenden Datenschiassel aufgefOhrt. 

In Fig. 56 sind die zulassigen Kombinationen von CV-Art und 
Schiasselform far die linke bzw. rechte Hfilfte des Import-KEK 
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und von den entsprechenden Attributen des in der Anweisiing ARTMK 
2u iinportierenden Schlussels aufgefOhrt, 

Fig. 57 ist eine Tabelle der zulassigen CV-Verwendungsattr ibute , 
die fttr den als Nebenprodukt von ARTMK erzeugten CSM MAC-Schltls- 
sel angegeben werden konnen. 

Fig. 58 und Fig. 59 sind Blockdiagraiame der Anweisung "ANSI 
SchlOssel uxnwandeln" (AXLTKEY). 

Fig. 60 ist eine Tabelle der zulSssigen CV-Verwendungsattribute , 
die fiir den als Nebenprodukt von AXLTKEY erzeugten CSM MAK- 
Schlussel angegeben werden konnen. 

Fig. 61 ist das Blockdiagramin der Anweisung "ANSI KDs kombinie- 
ren" (ACOMBKD) . 

Fig. 62 ist eine Tabelle der zulassigen CV-Verwendungsattribute 
fur die erste von zwei "partiellen" CSM MAC^Schliissel-Eingangs- 
informationen fiir die Anweisung ACOMBKD. 

Fig. 63 ist eine Tabelle der zulassigen CV-Verwendungsattribute 
fQr die zweite von zwei "partiellen" CSM MAC-Schiassel-Eingangs- 
informationen ftlr die Anweisung ACOMBKD. 

Fig. 64 ist eine Tabelle der zulassigen CV-Verwendungsattribute, 
die fur den durch ACOMBKD erzeugten Schlussel angegeben werden 
k5nnen . 

Fig. 65, 66, 67 und 68 sind Tabellen ablicher Schlttsselverwal- 
tungsanforderungen bzw. -aktivitSten und der Anweisungen, die 
dafar verwendet werden kdnnen. 

Fig. 69 zeigt die Transformationen von Schllisselstatus (OP, IM, 
EX), die von bestimmten Anweisungen durchgeftthrt werden. Export- 
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xind Importkanale sind £inbahnst:raBen far die von der Chiffrier- 
vorrichtxing import ierten bzw, exportiierten Schlvissel. 

Fig. 70 ist eine Tabelle der zulSssigen CV-Arten, die Ober die 
verschiedenen Kanalarten (CV^ CV=0 und ANSI) importiert Oder 
export iert werden kdnnen. 

Fig* 71 ist eine Tabelle der zulassigen Kombinationen von Ver- 
teilungsroodi und CV-Verbindungssteuervmgsattr ibuten . 

Fig. 72 ist ein Schema des SchlQsselumwandlungsprozesses , der an 
Knoten C far Knoten A und B durchgefahrt wird* 

In Fig. 73 ist ein Tail der Schiasselchif frierschiassel-Datei 
(KDDS), in der KEKs gespeichert sind. 

Fig. 74 ist ein Diagramm eines ANSI X9.17-System3cnotens. 

In Fig. 75 sind die funktionalen Schnittstellen zwischen den 
Komponenten in einem ANSI X9.17-Knoten dargestellt. 

Fig. 76 ist ein Systemdiagramm einer ANSI Punkt-zu-Punkt-Verbin- 
dung. 

Fig. 77 ist ein Systemdiagramm einer ANSI Schiasselverteilungs* 
zentrum-Umgebung (KDC) . 

Fig. 78 ist ein Systemdiagramm einer ANSI Schiasselumwandlungs- 
zentrum-Umgebung ( KTC ) - 

In Fig. 79 ist die Verteilung von KEKs ((*KK) in einer CCA ANSI 
X9 . 17-lmplementierung tabellarisch dargestellt. 

In Fig. 80 und 81 ist die Verteilung von Datenschiasseln (KD) in 
einer CCA ANSI X9 . 17-Implementierung tabellarisch dargestellt. 
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In Fig. 82 ist der ECB-Modus (elektronisches Codebuch) der DES- 
Chiffrierung dargestellt. 

In Pig. 83 ist der CBC-Modus (Chif £reblockkett:ung) der DES- 
Chiffrierung dargestellt:. 

In Fig. 84 ist der CBC-Modus der DES-Dechif f rierung dargestellt. 

In Fig. 85 ist der Algorithmus zur Meldungs-Identif ikationsaber- 
prafung (HAC) dargestellt. 

In Fig. 86, 87 und 88 sind die Gleichungen far alle Anweisungen 
aufgeftihrt. 

Es werden ein Verf ahren und eine Vorrichtung zur f lexiblen 
Schiasselverwendung beschrieben, die hier als Clxif f rierarchitek- 
tur (CA) bezeichnet werden. Das Verf ahren erzwingt eine strikte 
Schlfieseltrennung innerhalb der lokalen Chif f riervorrichtung und 
auf systemilbergreifender Ebene (d.h. bei der Ubertragung) . Das 
Verf ahren arbeitet mit Steuervektoren , die den Empf anger Oder 
Benutzer eines Schltlssels zwingen, den Schliissel so zu verwenden 
wie vom Urheber vorgesehen. 

Alle auBerhalb der Chif friervorrichtung auf einem unsicheren 
C Medium gespeicherten Schiassel werden unter einem Schiassel 

chiffriert, der aus einer Funktion des Hauptschltlssels und eines 
speziellen vom Urheber des gespeicherten SchlUssels vorgegebenen 
Steuervektorwertes gebildet wird. Der HauptschlUssel und mogli- 
cherweise einige weitere SchlCssel sind unverschiasselt inner- 
halb der physisch sicheren Chif friervorrichtung gespeichert. Zu 
keiner Zeit erscheint ein SchlUssel unabsichtlich unverschias- 
selt auBerhalb der sicheren Chif friervorrichtung. 

Von einem System an ein anderes Obertragene SchlUssel werden 
unter einem Schiassel chiffriert, der durch eine Funktion aus 
einem Schiasselchif frierschiassel und speziellen Steuervektor- 
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werten, die vom Urheber (und eventuell vom Sender) des Schlus- 
sals vorgegeben wurden, gebildet wird. Wo eine solche Kontrolle 
der Schiasselverwendung mit der Untersttitzung flir spezielle 
Schliisselverteilungsprotokolle in Konflikt gerSt, ist eine Steu- 
erung bei der Verbindung nicht durchzusetzen. 

Es wird eine Gruppe elementarer Chif f rierf unktionen oder Anwei- 
sungen definiert. Diese Anweisungen bilden die Basis der funk- 
tionalen Sicherheil:. Jede Anweisung ist in Form von Bin- und 
Ausgabeparame1:em, Funktionsbeschreibung und Steuervektorverar- 
beit:ung definiert. Wegen der Integritat sind die Anweisungen nur 
zur ausschlieBlichen Verwendung innerhalb der sicheren Chiff- 
riervorr ichtung vorgesehen . 

Bin sehr starkes xind positives Merkmal des Chif frierverf ahrens 
ist die strikte Einhaltung des Prinzips der beschrankten Funk- 
tion. Dieses Prinzip fordert, daB die Chif frierschnittstellen so 
iiaplementert werden, daB nur die gewUnschten und vorausgesehenen 
Chif f rierf unktionen erlaubt sind, und nichts anderes. Genau die- 
ses "nichts anderes" ist wichtig, Es hat sich gezeigt, daB An- 
griffe hSufig entwickelt werden, indem die eingerichteten 
Schnittstellen frttherer Systeiae auf eine Weise verwendet wurden, 
die nicht speziell benotigt oder unter der Architektur nicht 
aufgerufen, aber durch die Implementierung nicht ausdrQcklich 
verboten worden war. 

In Fig. 1 ist ein Blockdiagraiam des Datenverarbeitungssystems 
mit der darin enthaltenen Chif f riervorrichtung dargestellt. Das 
Datenverarbeitiuigssystem 2 ftihrt ein Programm aus wie z.B. das 
Cliif friervorrichtungs-Zugriffsprogramm und die Anwendungspro- 
gramme, die in Fig. 2 dargestellt sind. Diese Programme geben 
Chiffrierserviceanforderungen zur Verwaltung von Chiffrier- 
schlusseln, denen Steuervektoren zugeordnet sind, aus. Das all- 
gemeine Format eines Steuervektors ist in Fig. lo dargestellt. 
Steuervektoren definieren die Funktion, zu deren AusfOhrung der 
zugehdrige SchlQssel von seinem Urheber ermachtigt wurde. Die 
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hier beschriebene Chif f rierarchitekturerf indung ist eine Vor- 
richtung und ein Verfahren zur Oberpraf ung , daS die Schlussel- 
verwaltungsfunktionen, die vom Programm fUr einen Chiffrier- 
schiassel angefordert werden, vom Urheber des SchlUssels autori- 
siert sind. 

Wie in Fig, 1 zu sehen ist, ist in Datenverarbeitungssystem 2 
eine durch eine sichere Grenze 6 gekennzeichnete Chif f riervor- 
richtung 4 enthaltien oder daran angeschlossen • Durch die sichere 
Grenze 6 verlfiuft ein £in-/Ausgangsp£ad 8, Ober den die Chiff- 
rierserviceanforderung, Chif frierschlQssel und die zugeh6rigen 
Steuervektoren vom Programm empfangen werden konnen. Der Ein- 
/Ausgangspfad 8 gibt Antworten auf solche Chif f rieranf orderungen 
von der Chif f riervorrichtung aus, Innerhalb der sicheren Grenze 
6 befindet: sich ein Chif frieranweisungsspeicher 10^ der durch 
Einheiten des Busses 12 mit dem Ein-/Ausgangspf ad 8 verbunden 
ist. An den Anweisungsspeicher 10 ist eine Steuervektor-PrQf ein- 
heit 14 sowie eine Chif f rierverarbeitungseinheit 16 angeschlos- 
sen. An die Chif f rierverarbeitungseinheit 16 ist ein Haupt- 
schliisselspeicher 18 angeschlossen. Die Chif f riervorrichtung 4 
bietet einen sicheren Ort zur AusfQhrung von SchlQsselverwal- 
tiingsfunktionen als Antwort auf die empfangene Serviceanforde- 
riing. 

Der Chiffrieranweisungsspeicher 10 exnpfdngt Qber den Ein-/Aus- 
gangspfad 8 eine Chif f rierserviceanf orderung zur Ausfuhrung ei- 
ner SchlUsselverwaltungsfunktion mit einera Chif f rierschlussel . 
Die Steuervektor-Prafeinheit 14 besitzt einen mit dem Ein-/Aus- 
gangspfad 8 verbundenen Eingang zum Empfang eines dem Chiffrier- 
schlttssel zugeordneten Steuervektors . sie besitzt ferner einen 
an den Chiffrieranweisungsspeicher 10 angeschlossenen Eingang 
zum Empfang von Steuersignalen, die die Prdfung, ob der Steuer- 
vektor die von der Chif f rierserviceanforderung angeforderte 
Schiasselverwaltungsfunktion autorisiert, startet. 
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Die Steuervektor-Prufeinheit 14 besitzt einen an einen Eingang 
der Chiffrierverarbeitungseinheit 16 angeschlossenen Autorisie- 
riingsausgang 20, uber den signalisiert wird, daB die Schlussel- 
verwaltungsfunktion autorisiert ist. Der Empfang des Autorisie- 
rungssignals durch die Chiffrierverarbeitungseinheit 16 startet 
die Ausfuhrung der angef orderten Schltisselverwaltungsf unktion 
mit dem Chif f rierschlQssel . An die Chif f riervorrichtung 14 ist 
Ober den Ein-/Ausgangspf ad ein Chif frierschiasselspeicher 22 
angeschlossen. Dieser speichert den Chif f rierschiassel in einer 
verschiasselten Form, in der der Chif f rierschltlssel unter einem 
Speicherschiassel chiffriert ist, der ein logisches Produkt aus 
dem zugehorigen Steuervektor und dem im Hauptschiasselspeicher 
18 gespeicherten HauptschlUssel ist. 

Ein Beispiel fiir die Dechif f rierung eines chiffrierten Schlus- 
sels aus dem Chif frierschiasselspeicher 22 findet statt, wenn 
der Chiffrieranweisungsspeicher 10 Qber den Ein-/Ausgangspfad 
eine Chif f rierserviceanf orderung zur Dechif f rierung des Chiff- 
rierschltissels aus dem Chif frierschiasselspeicher 22 empfSngt. 
Die Steuervektor--Prafeinheit 14 sendet daraufhin auf Leitung 20 
ein Autorisierungssignal an die Chiffrierverarbeitungseinheit 
16, das besagt, daB die Funktion zur Dechif f rierung des Chiff- 
rierschlussels autorisiert ist. Die Chif frierverarbeittmgsein- 
heit 16 empfSngt dann als Antwort auf das Autorisierungssignal 
die verschiasselte Form des Chif frierschiassels vom Chiffrier- 
schlusselspeicher 22 und dechif friert diese unter dem Speicher- 
schlussel, der ein logisches Produkt aus dem zugehorigen Steu- 
ervektor und dem im Hauptschiasselspeicher 18 gespeicherten 
Hauptschiassel ist. 

Der Speicherschiassel ist ein EXKLUSIV-ODER-Produkt des zugehd- 
rigen Steuervektors und des im Hauptschiasselspeicher 18 gespei- 
cherten Hauptschiassels . DaB das logische Prodiakt im bevorzugten 
Ausfahrungsbeispiel eine EXKLUSIV-ODER-Operation ist, schlieBt 
andere logische Operationen jedoch nicht aus. 
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Der zugehdrige Steuervektor , dessen allgemeines Format in Fig. 
10 dargestellt ist^ wird xnit der chiffrierten Form des betref- 
fenden Chif f rierschiassels iin Chif frierschlusselspeicher 22 ge- 
speichert. Da alle Schiassel unter dem Hauptschiassel verschlQs- 
selt im Chif frierschlusselspeicher gespeichert werden, kann ein 
konstantes Verfahren zur Chiffrierung und Dechif f rierung von 
darunter verschiasselten Schltisseln angewendet werden. 

Der Steuervektor, dessen allgemeines Format in Fig. lo darge- 
stellt ist^ enthSlt Felder, in denen die autorisierten Arten von 
Chif frierfunktionen einschliefilich Schiasselverwaltungsfunktio- 
nen, Datenchif frier- und Datendechif frierfunktionen und Funktio- 
nen zur Verarbeitung der personlichen Identif ikationsnummer 
(PIN) definiert sind. Bei den SchlCisselverwaltungsanwendungen 
ist die Art der SchlUsselverwaltungsfunktionen im Feld "CV-ART" 
angegeben. Der Steuervektor enth^Llt noch weitere Felder, in de- 
nen die Exportsteuerung far die Schiassel und zugehdrige ver- 
schiasselte Daten sowie die Verwendung der Schiassel und der 
zugehdrigen verschlusselten Daten festgelegt werden kann. 

Die Anordntmg in Fig. 1 kann einen SchlUsselsatz generieren^ 
d.h. ein Schiasselpaar mit mehreren Verwendungsklassen. Die 
Chiffrierverarbeitungseinheit besitzt einen Eingang, der aber 
den Bus 12 an eine Zufallszahlenguelle 26 Oder eine gespeicher^e 
Zufallszahl aus dem Arbeitsspeicher 24 der Verschiasselungsvor- 
richtung 4 angeschlossen ist, und aber den sie eine Zufallszahl 
empfangen kann. 

Der Chiffrieranweisungsspeicher 10 empfSngt daraufhin aber den 
Ein-/Ausgangspfad 8 eine Chif frierserviceanf orderung zur Gene- 
rierung eines Schiasselpaares aus der Zufallszahlenausgabe der 
Zufallszahlenguelle 26 mit dem zugehdrigen ersten und zweiten 
Steuervektor C3 und C4. Die Steuervektor-Prttf einheit 14 sendet 
dann als Antwort darauf auf Leitung 20 ein Autorisierungssignal 
an die Chiffrierverarbeitungseinheit 16, das besagt, daB die 
Funktion zur Generierung eines Schiasselpaares aus der Zufalls- 
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zahl autorisiert ist. Die Chif f rierverarbeitimgseinheit 16 gibt 
dann als Antwort auf das Autorisierungssignal auf Leitxing 20 die 
Zufallszahl als ersten generierten Schiassel in einer verschltts- 
sellien Form aus, in der die erste Zufallszahl xrnter einem 
SchlQssel chiffriert ist, der ein logisches Produkt aus dem er- 
sten Steuervektor C3 und einem ersten Schlussel Kl ist. Die 
Chiffrierverarbeitungseinheit 16 gibt dann als Antwort auf das 
Autorisierungssignal auf Leitung 20 auBerdem die Zufallszalil als 
zweiten generierten Schlussel in einer verschlusselten Form aus, 
in der die Zufallszahl unter einem Schiassel chiffriert ist, der 
ein logisches Produkt aus dem zweiten Steuervektor C4 und einem 
zweiten Schiassel K2 ist. Durch die Steuervektoren C3 xmd C4 
kdnnen mehrere Verwendungszweckkombinationen autorisiert werden. 
Bine Kombination gilt fur die Erzeugung von zwei Schiasseln, die 
im lokalen Datenverarbeitungssystem 2 benutzt werden konnen; in 
diesem Fall bestehen der erste Schiassel Kl und der zweite 
Schiassel K2 aus der Zufallszahl, und der erste Steuervektor C3 
und der zweite Steuervektor C4 autorisieren nur die lokale Ver- 
wendung innerhalb des lokalen Datenverarbeitungssystems 2* Bine 
zweite Kombination gilt beispielsweise far die Erzeugung eines 
ersten generierten Schiassels, der nur im lokalen Datenverarbei- 
tungssystem 2 verwendet werden kann, und eines zweiten generier- 
ten Schiassels, der an ein an das lokale System 2 angeschlosse- 
nes femes Datenverarbeitungssystem 30 export iert werden kann. 
In diesem Fall ist der erste Schiassel Kl die Zufallszahl, und 
der erste Steueirvektor C3 autorisiert nur die lokale Verwendung 
innerhalb des lokalen Datenverarbeitungssystems 2, wohingegen 
der zweite Schiassel K2 ein Schiasselchif f rierschiassel KEK2 ist 
und der zweite Steuervektor C4 den Export an das ferne Datenver- 
arbeitungssystem 30 autorisiert « Ein drittes Beispiel ist die 
Erzeugung eines ersten generierten Schiassels, der an ein erstes 
an das lokale Datenverarbeitungssystem 2 angeschlossenes femes 
Datenverarbeitungssystem 30 export iert werden kann, und eines 
zweiten generierten Schiassels, der an ein zweites an das lokale 
Datenverarbeitungssystem 2 angeschlossenes femes Datenverarbei- 
tungssystem 30' exportiert werden kann. In diesem Fall ist der 
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erste Schlussel Kl ein Schlusselchif f rierschiassel KEKl, und der 
erste Steuervektor C3 autorisiert den Export an das erste ferne 
Datenverarbeitungssystem 30; der 2weite Schlussel K2 ist ein 
Schiasselchiff rierschiassel KEK2, und der zweite Steuervektor C4 
autorisiert den Export an das zweite ferne Datenverarbeitungs- 
system 30'* Eine vierte Kombinationsmoglichkeit ist Verwendung 
zur Erzeugung eines ersten generierten Schiassels, der nur iia 
lokalen Datenverarbeitungssystem 2 benutzt werden kann, und ei- 
nes zweiten generierten Schlussels, der von einem an das lokale 
Datenverarbeitungssystem 2 angeschlossenen femen Datenverarbei* 
tungssystem 30 importiert werden kann* In diesem Fall ist der 
erste Schltissel Kl die Zufallszahl, und der erste Steuervektor 
C3 autorisiert nur die normale Verwendung innerhalb des lokalen 
Datenverarbeitungssystems 2; der zweite Schlussel K2 ist ein 
Schiasselchiff rierschiassel KEK2, und der zweite Steuervektor C4 
autorisiert den Import vom fernen Datenverarbeitungssystem 30 in 
das lokale Datenverarbeitungssystem 2. Ein fttnftes Fallbeispiel 
ist die Verwendung zur Erzeugung eines ersten generierten 
Schlussels, der von einem ersten an das lokale Datenverarbei- 
tungssystem 2 angeschlossenen fernen Datenverarbeitungssystem 30 
importiert werden kann, und eines zweiten generierten Schias- 
sels, der an ein zweites an das lokale Datenverarbeitungssystem 
2 angeschlossenes femes Datenverarbeitungssystem 30' exportiert 
werden kann. In diesem Fall ist der erste Schiassel Kl ein 
Schiasselchiff rierschiassel KEKl, und ein erster Steuervektor C3 
autorisiert den Import vom ersten fernen Datenverarbeitungssy- 
stem 30; der zweite Schlussel K2 ist ein Schiasselchiff rier- 
schiassel KEK2, und ein zweiter Steuervektor C4 autorisiert den 
Export an das zweite ferne Datenverarbeitungssystem 30', 

Die in Fig. 1 dargestellte Anordnung kann die Operation "Um- 
chiffrieren vom Hauptschiassel** folgendermaSen ausfOhren. Das 
Datenverarbeitungssystem 2 ist aber eine DFV-Verbindung 28 mit 
einem fernen Datenverarbeitungssystem 30 verbunden, das wie das 
Datenverarbeitungssystem 2 aber einen geheimen Schiasselchif f- 
rierschiassel KEK verfagt. Im Chif frierschiasselspeicher 22 wird 
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der Schlusselchif frierschlussel KEK in einer verschlusselten 
Form gespeicherl:, in der KEK unter einem Speicherschltissel 
chiffriert ist, der ein logisches Produkt aus einem zugehdrigen 
Steuervek-tor CI und dem Hauptschiassel ist. Der Chif frierschltts- 
selspeicher 22 enthalt auch den Chif frierschiassel als Schlussel 
K in einer verschlusselten Form, in der K \inter einem Speicher- 
schiassel chiffriert ist, der ein logisches Prodxikt aus einem 
zugehdrigen Steuervektor C2 und dem HauptschlUssel ist. 

Der Chiffrieranweisungsspeicher 10 empf&ngt tiber den Ein-/Aus- 
gangspfad 8 eine Chif f rierserviceanforderung zur Umchiffrierung 
des Chiffrierschiassels K vom Hauptschltissel , die unter dem 
Schlusselchif frierschlussel KEK chiffriert werden soil, urn zu- 
sammen mit einem Steuervektor C3 an das ferne Datenverarbei- 
tungssystem 30 exportiert zu werden. Die Steuervektor-Priif ein- 
heit 14 sendet daraufhin auf Leitung 20 ein Autorisierungssignal 
an die Chif frierverarbeitungseinheit 16, das besagt, da5 die 
Funktion der Wiederverschiasselxing des Chiffrierschiassels K vom 
Hauptschiassel unter den Schlusselchif frierschlttssel KEK zu Ex- 
portzwecken autorisiert ist. 

Die Chiffrierverarbeitungseinheit 16 empf^ngt als Antwort auf 
das Autorisierungssignal auf Leitung 20 die chiffrierte Form des 
Chiffrierschiassels K vom Chif frierschlttsselspeicher 22 und de- 
chiffriert diese chiffrierte Form unter einem Speicherschiassel , 
der ein logisches Produkt aus dem zugehdrigen Steuervektor C2 
und dem HauptschlOssel ist. Perner empfSngt sie als Antwort auf 
das Autorisierungssignal auf Leitung 20 die chiffrierte Form des 
Schltisselchif frierschliissels KEK vom Chif f rierschlQsselspeicher 
22 imd dechiffriert diese chiffrierte Form unter einem Speicher- 
schiassel, der ein logisches Produkt aus dem zugehdrigen Steuer- 
vektor Cl und dem Hauptschiassel ist. 

AnschlieBend fOhrt die Chiffrierverarbeitungseinheit 16 als Ant- 
wort auf das Autorisierungssignal auf Leitung 20 die Umchiffrie- 
r\ing des Chiffrierschiassels K unter einem logischen Produkt aus 
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dem zugehdrigen Steuervektor C3 und dem Schlusselchif frier- 
schltissel KEK durch iind sendet den umchif frierten Chif frier- 
schlQssel K zusaiaxnen mit dem 2ugeh5rigen Steuervektor C3 liber 
die DFV-Verbindung 28 an das erste feme Datenverarbeitungssy- 
stem 30. 

Die in Fig, 1 dargestellte Anordnung kann die Operation "Um- 
chif frieren unter den Hauptschliissel" folgendermafien ausfOhren, 
Das Datenverarbeitiingssystem 2 ist ttber eine DFV-Verbindung 28 
mit einem fernen Datenverarbeitungssystem 30 verbunden, das wie 
das Datenverarbeitungssystem 2 Qber einen geheimen Schlttssel- 
chiffrierschlvissel KEK verftigt. Im Chif frierschiasselspeicher 22 
wird der Schiasselchif frierschliissel KEK in einer verschiassel- 
ten Form gespeichert, in der KEK unter einem Speicherschlussel 
chiffriert ist, der ein logisches Produkt aus einem zugehorigen 
steuervektor CI und dem Hauptschiassel ist. 

Das feme Datenverarbeitungssystem 30 UbertrSgt Ober die DFV- 
Verbindung 28 einen unter dem Schiasselchif frierschiassel KEK 
chiffrierten Chif f rierschlUssel K zusammen mit einem Steuervek- 
tor C3 an das lokale Datenverarbeitungssystem 2. Der Chif frier- 
anweisungsspeicher 10 empftogt ttber den Ein-/Ausgangspfad 8 eine 
Chiffrierserviceanforderung zur Umchif frierung des Chiffrier- 
schltissels K vom Chif f rierschlUssel KEK, der unter dem 
HauptschlQssel chiffriert werden soli, um zusammen mit einem 
Steuervektor C2 im Chif frierschiasselspeicher 22 abgespeichert 
zu werden. Die Steuervektor-Prtlf einheit 14 sendet daraufhin auf 
Leitung 20 ein Autorislerungssignal an die Chif frierverarbei- 
tungseinheit 16, das besagt, daB die Funktion der Umchif frierung 
des ChiffrierschlQssels K vom SchlCLsselchif frierschlfissel KEK 
unter den Hauptschlussel zur Speicherung autorisiert ist. Die 
Chiffrierverarbeitungseinheit 16 dechif friert dann als Antwort 
auf das Autorislerungssignal auf Leitung 20 den Schltissel vom 
Schiasselchiffrierschiassel KEK, verschiasselt ihn zusammen mit 
dem Steuervektor C2 unter dem Hauptschlussel und Obergibt den 
umchif frierten SchlQssel K an den Chif frierschiasselspeicher 22. 
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Mit der Anordnung aus Fig. 1 kann ferner wie folgt ein einzelner 
Schltissel generiert werden. Die Zufallszahlenquelle 26 besitzt 
einen Ausgang, der Ober den Bus 12 an die Chif frierverarbei- 
tungseinhelt: 16 angeschlossen ist. Ober diesen Ausgang wird eine 
Zufallszahl an die Chif frierverarbeitungseinheit 16 gesendet:. 
Der Chiffrieranweisungsspeicher 10 empfSngt iiber den Ein-/Aus- 
gangspfad 8 eine Chif f rierserviceanforderung zur Generierung 
eines Schiassels aus der Zufallszahl und einem zugehdrigen 
Steuervektor Cl, Die Steuervektor-Prttfeinheit 14 sendet: darauf- 
hin auf Leitung 20 ein Autorisierimgssignal an die Chif frierver- 
arbeitungseinheit 16, das besagt, daB die Funktion der Generie- 
rung eines Schltissels aus Zuf allszahlen autorisiert ist, Als 
Antwort auf das Autorisierungssignal auf Leitung 20 sendet die 
Chiffrierverarbeitungseinheit 16 die Zufallszahl als generierten 
Schiassel in einer verschliisselten Form, in der die Zufallszahl 
unter einem SchlQssel chiffriert ist, der ein logisches Produkt 
aus dem zugehdrigen Steuervektor CI und dem Hauptschiassel ist. 

Die Anordnung aus Fig. l kann ferner wie folgt eine SchlQssel- 
umwandlimgsfunktion ausfuhren. Das Datenverarbeitungssystem 2 
aus Fig. 1 ist ein lokales System, das Ober eine DFV-Verbindung 
28 mit einem ersten fernen Datenverarbeitungssystem 30 verbunden 
ist, mit dem es einen geheimen Schlttsselchif f rierschlxissel KEKl 
far den Import gemeinsam hat. Das lokale Datenverarbeitungssy- 
stem 2 ist aufierdem tiber eine DFV-Verbindung 28' mit einem zwei- 
ten fernen Datenverarbeitungssystem 30' verbunden, mit dem es 
einen geheimen SchlQsselchif f rierschlUssel KEK2 fur den Export 
gemeinsam hat. Im Chif frierschlQsselspeicher 22 wird der Import- 
SchlOsselchif f rierschiassel KEKl in einer verschlUsselten Form 
gespeichert, in der KEKl unter einem Speicherschiassel chiff- 
riert ist, die ein logisches Produkt aus einem zugehdrigen Steu- 
ervektor Cl und dem Hauptschiassel ist. Im Chif f rierschiassel- 
speicher 22 wird der Export-Schiasselchiff rierschiassel KEK2 in 
einer verschiasselten Form gespeichert, in der KEK2 unter einem 
Speicherschiassel chiffriert ist, der ein logisches Produkt aus 
einem zugehdrigen Steuervektor C2 und dem Hauptschiassel ist. 
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Das erst:e ferne Datenverarbeitungssystem 30 iibertragt iiber die 
DFV-Verbindung 28 elnen unter dem Import-Schltisselchif frier- 
schiassel KEKl chiffrierten Chif f rierschiassel K zusanunen mit 
einem Steuervektor C3 an das lokale DatenverarbeltungssystieiD 2, 
Der Chif frieranweisungsspeicher 10 empfangt Ober den Ein-/Aus- 
gangspfad 8 eine Chif f rierserviceanf orderung zur Umwandliing des 
Chif frierschlQssels K von der Chiffrierung unter dem Import- 
Schlttsselchiffrierschlussel KEKl unter den Export-Schlttssel- 
chiffrierschlOssel KEK2, zusammen mit einem zugehdrigen Steuer- 
vektor C3 zur tJbertragung Ober die DFV-Verbindung 28' an das 
zweite Datenverarbeitungssystem 30'. Die Steuervektor-Prtlfein- 
heit 14 sendet daraufhin auf Leitung 20 ein Autorisierungssignal 
an die Chif frierverarbeitungseinheit 16, das besagt, daB die 
Funktion der Umwandlung des Chif f rierschiassels K von der Chiff- 
rierung unter dem Import-Schlusselchif f rierschlussel KEKl in die 
Chiffrierung unter dem Export-Schlttsselchif frierschlttssel KEK2 
autorisiert ist. 

Die Chif frierverarbeitungseinheit 16 wandelt dann als Antwort 
auf das Autorisierungssignal auf Leitung 20 den Chif f rierschlus- 
sel K zusammen mit dem Steuervektor C3 von der Chiffrierung un- 
ter dem Import-Schiasselchiffrierschlussel KEKl in die Chiffrie- 
rung unter dem Export- SchiasselchiffrierschlQssel KEK2 urn, um 
ihn uber die DFV-Verbindung 28' an das zweite Datenverarbei- 
tiuigssystem 30' zu senden. 

Mit den Steuervektoren CI, C2 und C3 konnen dabei verschiedene 
Einschrankungen festgelegt werden, z,B. um zu verhindern, daB 
vom lokalen Datenverarbeitungssystem 2 aus der Schiassel K gele- 
sen Oder benutzt wird^ so daB er sicher vom ersten Datenverar- 
beitungssystem 30 an das zweite Datenverarbeitungssystem 30' 
gesendet werden kann. 

Die Anordnung aus Fig. i kann wie folgt eine Umchif f rierung vom 
aktuellen Hauptschiassel unter einen neuen Hauptschlussel durch- 
fOhren. In einem Speicher fOr den aktuellen Hauptschiassel, z.B. 
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im Arbeitsspeicher 24^ wird ein aktueller Hauptschliissel gespei- 
chert, und im Hauptschiasselspeicher 18 kann ein neuer Haupt- 
schlttssel gespeichert werden. Sowohl der Speicher 24 far den 
aktuellen Hauptschlussel als auch der HauptschlUsselspeicher 18 
sind mit der Chif f rierverarbeitungseinheit 16 und der Chiffrier- 
vorrichtung 4 verbunden, Der Chif f rierschliisselspeicher 22 ent- 
halt einen Chif f rierschlussel wie z.B. den Schlussel K in einer 
chif frierten Form, in der der Schltissel K unter einem Speicher- 
schiassel chiffriert ist, der ein logisches Produkt aus einem 
zugeordneten Steuervektor Cl und dem aktuellen HauptschlUssel 
ist. Der Chif f rleranweisungsspeicher empfangt tlber den Ein-/Aus- 
gangspfad 8 eine Chif frierserviceanforderung, daB der Chiffrier- 
schliissel K mit dem zugehorigen Steuervektor Cl vom aktuellen 
Hauptschlussel unter den neuen Hauptschiassel umchiffriert wer- 
den soil, und die Steuervektor-Pruf einheit sendet daraufhin auf 
Leitiing 20 ein Autorisierungssignal an die Chif frierverarbei- 
tungseinheit 16, das besagt, daB die Funktion zur Umchif frierung 
des Chiffrierschlussels K vom aktuellen Hauptschlussel in den 
neuen Hauptschiassel autorisiert ist. 

Die Chiffrierverarbeitungseinheit 16 empfangt als Antwort auf 
das Autorisierungssignal auf Leitung 20 die chiffrierte Form des 
Chiffrierschiassels K vom Chif frierspeicher 22 und dechiffriert 
die dechif frierte Form dieses Schiassels unter einem Speicher- 
schiassel, der ein logisches Produkt aus dem zugehdrigen Steuer- 
vektor Cl und dem aktuellen Hauptschlussel ist. Dann chiffriert 
die Chiffrierverarbeitungseinheit den Chif f rierschlussel K als 
Antwort auf das Autorisierungssignal auf Leitung 20 unter einem 
logischen Produkt aus einem zugeh6rigen Steuervektor Cl und dem 
neuen Hauptschiassel neu und sendet den neu chiffrierten Chiff- 
rierschiassel K zusammen mit dem zugeh5rigen Steuervektor Cl an 
den Chiffrierschiasselspeicher 22. 

Mit der Anordnung aus Fig. 1 ist auch eine Reduzierung der durch 
einen Steuervektor f estgelegten Nutzungsberechtigung eines 
Schiassels maglich. Dazu wird im Chiffrierschiasselspeicher 22 
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der ChiffrierschlQssel K in einer chif f rierten Form gespeichert, 
in der der SchlQssel K unter einem Speicherschltissel chiffriert 
ist, der ein logisches Produkt aus einem 2ugeh5rigen Steuervek- 
tor CI und dem HauptschlQssel ist, Der Steuervektor CI enthalt: 
ein Feld, in dem beispielsweise die Exportkontrolle festgelegt 
ist. Der Chif f rieranweisungsspeicher 10 empfSngt Ober den Ein- 
/Ausgangspfad 8 eine Chif f rierserviceanf orderung zur Herabset- 
zung der Steuervektorberechtigung des Steuervektors CI, und die 
Steuervektor-PrQfeinheit 14 sendet daraufhin auf Leitung 20 ein 
Autorisierungssignal an die Chif f rierverarbeitungseinheit 16, 
das besagt, daB die Funktion zur Reduzierung der Steuervektorbe- 
rechtigung des Steuervektors CI autorisiert ist. 

Die Chif frierverarbeitungseinheit 16 empf Sngt dann als Antwort 
auf das Autorisierimgssignal auf Leitung 20 die chiffrierte Form 
des ChiffrierschlQssels K aus dem Chif f rierschlQsselspeicher 22 
und chiffriert die dechif frierte Form davon unter einem Spei- 
cherschliissel , der ein logisches Produkt aus dem zugehdrigen 
Steuervektor CI und dem HauptschlQssel ist. Die Chif frierverar- 
beitungseinheit 16 ersetzt dann als Antwort auf das Autorisie- 
rungssignal auf Leitung 20 den Steuervektor CI durch einen zwei- 
ten Steuervektor C2, in dessen Exportkontrollf eld eine niedrige- 
re Berechtigung angegeben ist als beim vorigen Steuervektor CI. 
Dann chiffriert die Chif frierverarbeitungseinheit 16 als Antwort 
auf das Autorisierungssignal auf Leitung 20 den SchlQssel K mit 
dem zweiten Steuervektor C2 unter dem Hauptschlvissel und sendet 
den Chi ff rierten Schltissel K zusammen mit dem zweiten Steuervek- 
tor C2 an den Chif frierspeicher 22- 

Mit der Anordnung aus Fig. l wird eine Umchif frierung vom Haupt- 
schlussel mit gleichzeitiger Herabsetzung der Exportberechtigung 
fOr den Empf anger f olgeiidermaSen bewerkstelligt . Das Datenver- 
arbeitungssystem ist ein lokales Datenverarbeitungssystem 2, das 
mit einem ersten fernen Datenverarbeitungssystem 30 verbunden 
ist, mit dem es einen geheimen SchlQsselchif f rierschlCbssel 
teilt. Im Chif frierspeicher 22 ist der Schltisselchif frierschias- 
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sel KEK in einer chif frierten Form gespeichert, in der der KEK 
unter einem SpeicherschlUssel gespeichert ist^ der ein logisches 
Produkt aus einem zugehdrigen Steuervektor CI und dem Haupt:- 
schiassei ist. Der Chif frierschlQsselspeicher 22 enthait den 
Chiffrierschlussel als Schiassel K in einer chiffrierten Form, 
in der er unter einem Speicherschlttssel chiffriert ist, der ein 
logisches Produkt aus einem zugehdrigen Steuervektor C2 und dem 
Hauptschiassel ist, wobei der zugehdrige Steuervektor C2 ein 
Exportfeld besitzt, in dem eine erste Exportberechtigung festge- 
legt ist. Der Chif frieranvreisungsspeicher 10 empfdngt Ober den 
Ein-/Ausgangspfad 8 eine Chif frierserviceanforderung zur Um- 
chiffrierung des Chif f rierschldssels K vom Hauptschiassel unter 
den Schltisselchiffrierschliissel KEK zum Export mit einem zugeho- 
rigen Steuervektor C3 an das erste ferne Datenverarbeitungssy- 
stem 30, wobei im Exportfeld des zugehdrigen Steuervektors C3 
eine zweite Exportberechtigung angegeben ist, die niedriger ist 
als die erste Exportberechtigung des Steuervektors C2. 

Die Steuervektor-Prafeinheit 14 sendet daraufhin auf Leitung 20 
ein Autorisierungssignal an die Chif frierverarbeitungseinheit 
16, das besagt, daB die Funktion zur Umchif f rierung des Chiff- 
rierschltlssels K vom Hauptschiassel unter den SchlQsselchif f- 
rierschlttssel KEK tHr den Export autorisiert ist. Die Chif frier- 
verarbeitungseinheit 16 empfSngt als Antwort auf das Autorisie- 
rungssignal auf Leitung 20 die chiffrierte Form des chif frierten 
Schiassels K aus dem Chif f rierschltasselspeicher 22 und dechif f- 
^i®^^ chiffrierte Form davon unter einem Speicherschlussel , 

der ein logisches Produkt aus dem zugehdrigen Steuervektor C2 
und dem Hauptschiassel ist. Die Chif frierverarbeitungseinheit 16 
empfangt als Antwort auf das Autorisierungssignal auf Leitung 20 
auBerdem die chiffrierte Form des Schldsselchif frierschliissels 
KEK aus dem Chif f rierschlUsselspeicher 22 und dechiffriert die 
chiffrierte Form davon unter einem Speicherschlttssel, der ein 
logisches Prodxikt aus dem zugehdrigen Steuervekto CI und dem 
Hauptschiassel ist. 
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Die Chif frierverarbeitungseinheit 16 chiffriert dann als Antwort 
auf das Au-torisierungssignal auf Lei-tung 20 den Chif f rierschlus- 
sel K un-ter einem logischen Produki: aus deia zugehdrigen St:euer- 
vek-tor C3 und dem Schliisselchif frierschltissel KEK neu und gibt 
den uxachi£friert:en Chif frierschlttssel K zusammen mil: dem zugehd- 
rigen Steuervektor C3 aus, damit beide an das erste ferne Daten- 
verarbeitungssystem 30 gesendet werden kdnnen. Das erste ferne 
Da-tenverarbei-tungssys-kem hat nun eine niedrigere Berechtigung 
fOr den Wiederexport des Chif frierschlfissels K, da im Exportfeld 
des zugehdrigen Steuervektors C3 eine niedrigere Berechtigung 
angegeben ist. 

Die Anordnung aus Fig. 1 kann ferner Operationen zur Verbin- 
dungssteuerung bereitstellen, Der Steuervektor enthalt ein Feld 
zur Definition der Verbindiingssteuerung , in dem angegeben ist, 
Ob der dem Chif frierschltissel zugeordnete Steuervektor bei der 
Obertragung von lokalen Datenverarbeitungssystem an ein daran 
angeschlossenes femes Datenverarbeitungssystem 30 aufgrund der 
Merkmale des fernen Datenverarbeitungssystems 30 nicht mitgesen- 
det werden soil. Es ist beispielsweise mdglich, daB das ferne 
Datenverarbeitungssystem nicht in der Lage ist, Steuervektoren 
aufzunehmen und zu verarbeiten. Die Steuervektoren, die bei der 
Obertragung vom zugehdrigen Chif frierschltissel abgetrennt werden 
kdnnen, machen die Operationen mit dem betreffenden Chif frier- 
schltissel weniger vertrauenswiirdig. Solche Systeme wie das loka- 
le Datenverarbeitungssystem 2, die mit Steuervektoren arbeiten 
kdnnen, sind deshalb sicherer als dies bei fernen Systemen mdg- 
lich ist, die nicht uber diese Verarbeitungsmdglichkeit verftt- 
gen. Der Steuervektor kann auch ein Feld enthalten, in dem ange- 
geben ist, Ob der zugehdrige Schiassel von einem ANSI-Datenver- 
arbeitungssystem wie dem fernen Datenverarbeitungssystem 30 ver- 
arbeitet werden kann. 

Bei der Anordnung aus Fig. l verftigt der Steuervektor, dessen 
allgemeines Format in Fig. 10 dargestellt ist, Felder, in denen 
die Trennung von SchlQsselchif frierschlQsseln ftir sich gegensei- 
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tig ausschlieBende Verwendungszwecke erzwungen wird* In Fig. 7 
ist dargestellt, wie die verschiedenen Schiasselchif f rierschias- 
sel nach ihreia Verwendungszweck klassif iziert warden. Einander 
ausschlieBende Verwendiingszwecke haben zum Beispiel Beglaubi- 
gungsschiassel und nicht beglaubigende Schltissel. Eine andere 
Form einander ausschlieBender Verwendungszwecke waren ein erster 
Schlttsselchif frierschiassel, der Steuervektoren verwendet, und 
ein zweiter Schiasselchif f rierschiassel , der nicht mit Steuer- 
vektoren arbeitet. Ein weiteres Beispiel fur einander ausschlie- 
Bende Verwendungszwecke sind eine erste Art von SchlUsselchif £- 
rierschlusseln, die nur von Sendern verwendet werden kdnnen, tmd 
eine zweite Art von Schltlsselchif frierschlxisseln, die nur von 
Empfangern verwendet werden konnen. Noch ein Beispiel fUr ein- 
ander ausschlieBende Verwendungszwecke, bei denen Steuervektoren 
eine SchlCksseltrennung erzwingen, sind eine erste Art von 
Schldsselchiffrierschlxlssel, die zur Generierung von Schlussel- 
paaren und zur Umwandlung von SchlQsseln tilr die Versendung ver- 
wendet werden k6nnen, ohne den Export vorhandener, unter einen 
Hauptschiassel gespeicherter Datenschiassel zu ena5glichen, und 
eine zweite Art von Schlusselchif frierschlQsseln, die zur Gene- 
rierung von Schliisselpaaren und zur Umwandlung von Schliisseln 
tHr die Versendung verwendet werden kdnnen, aber den Export vor- 
handener, unter einem Hauptschltissel gespeicherter Datenschias- 
sel erlaxiben. Ein anderes Beispiel einander ausschlieBender Ver- 
wendungszwecke, ftir die der Steuervektor eine SchlUsseltrennung 
erzwingt, sind eine erste Art von SchlUsselchiffrierschlfisseln, 
die nur fiir den Export generiert werden kdnnen, und eine zweite 
Art von Schlusselchiff rierschlusseln, die far die lokale Verwen- 
dung und far den Export generiert werden kdnnen. Ein weiteres 
Beispiel far einander ausschlieBende Verwendungszwecke, far die 
der Steuervektor eine Schiasseltrennung erzwingt, sind eine er- 
ste Art von Schiasselchif frierschiasseln, die zur Umwandlung, 
aber nicht fur gewdhnliche lokale Operationen verwendet werden 
kann, und eine zweite Art von Schiasselchif frierschlttsseln, die 
sowohl zur Umwandlung als auch far gewdhnliche lokale Operatio- 
nen verwendet werden kann. Ein weiteres Beispiel far einander 
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ausschlieBende Verwendungszwecke, fiir die der Steuervektor eine 
Schlusseltrennung erzwingt^ sind schlieBlich eine erste Art von 
Schldsselchiffrierschiasseln, die zur Umchif f rierung vom Haupt- 
schiassel vervendet werden kann, und eine zweite Art von Schltis- 
selchiffrierschiasseln, die nicht zur Umchif f rierung vom Haupt- 
schiassel benutzt werden kann. 

Der Steuervektor^ dessen allgemeines Format in Fig. 10 darge- 
stent ist, kann aufierdem ein Feld enthalten, in dem angegeben 
ist^ ob der zugehdrige Chif f rierschlflssel ein SchlQssel mit ein- 
facher oder mit doppelter Lange ist. 

Im folgenden werden die einzelnen Komponenten und Operationen 
der Anordnung ausfiihrlicher erlautert. 

In Fig. 2 sind die Hauptkomponenten eines Chif f riersubsystems 
dargestellt. Das Chiff riersubsystem besteht aus einer Chiffrier- 
vorrichtung (CF), dem Chif f riervorrichtungs-Zugrif f sprogramm 
(CFAP) und dem Anwendungsprogramm (AP) . Die CF ist gewdhnlich in 
einem physisch sicheren Gehause hardwaremafiig implementiert , Je 
nach Implement ierung konnen sich auch die CF, das CFAP und das 
AP in einem physisch sicheren Kasten befinden. 

Die Chiffriervorrichtvmg 4 besteht aus folgenden Komponenten: 

# Schiasselregister - Die Register und ihre Verwendung werden 
nachstehend beschrieben: 

- Hauptschiasselregister 18 - Das Hauptschiasselregister ist 
128 Bit groB und enthalt den Hauptschiassel . 

- Register fCkr den neuen HauptschlCLssel (NMK) - Das Register 
far den neuen Hauptschlussel ist 128 Bit groB und enthalt 
den neuen Hauptschlussel, der zum aktuellen Hauptschlussel 
werden soil. Der neue Hauptschlussel wird erst durch eine 
spezlelle Anweisung zum aktuellen Hauptschiassel; urn den 
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Wert des neuen Hauptschliissels in das Hauptschliisselregi- 
ster zu laden, wird die Anweisung SMK erteilt^ 

Register fur den alten Hauptschiassel - Das Register fur 
den alten Hauptschiassel ist 128 Bit groB und enthalt den 
Hauptschiassel, der durch den neuen Hauptschiassel ersetzt 
wurde. Der Mechanisiaus zur Aktualisierung des 
Hauptschiassels ist so aufgebaut, daB zuerst der aktuelle 
Hauptschiassel zum alten Hauptschiassel wird, bevor der 
neue Hauptschiassel zum aktuellen Hauptschiassel wird. 

Schlusselteileregister - Das Schiasselteileregister ist 128 
Bit groB und enthSlt den Wert eines Schiasselteils (einer 
Schiasselkomponente) oder einen vollstandigen Schlussel, 
der Ober eine Schlussel ladevorrichtung wie z.B. ein Tasten- 
feld Oder eine Tastatur, die Ober eine optionale gesicherte 
physische Schnittstelle an die CF angeschlossen ist, in- 
stall iert wird. 

- Arbeitsschiasselregister - Aus Grttnden der Leistungsf ahig- 
keit verfttgt das System aber Arbeitsregister , die jeweils 
128 Bit groB sind und die Schiassel enthalt, mit denen ge- 
rade gearbeitet wird, dsunit schnell darauf zugegriffen wer- 
den kann. Zum Beispiel wird ein Schiassel, der zur Chiff- 
^ rierung von Da ten benutzt wird, bei der erstnallgen Verwen- 

dung in chiffrierter Form in die CF geladen. Dann wird er 
dechif friert, und der unverschiasselte Wert kann in einem 
der Arbeitsschiasselregister gespeichert werden. Wenn der 
Schiassel erneut zum Chiffrieren oder Dechif frieren der 
Daten benutzt wird, kann dieser unchif frierte Schiassel 
schnell aus einem speziellen Arbeitsschiasselregister abge- 
rufen werden, so daB eine neuerliche Dechif f rierung des 
Schiassels vor der Verwendung dberfiassig ist. 
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Progranun-MDC-Register (PMDC Reg) - Das Prograinm-MDC-Regi- 
ster tunfaBt 64 Bit und enthSlt den MDC des Programms, das 
in den Programmspeicher in der CF geladen werden soil. 

Datei-MDC-Register (DMDC Reg) - Das Datei-MDC-Register um- 
faSt 64 Bit und enthait den MDC der Dateien, deren Integri- 
tat durch das CFAP gepruft wird. Dies sind in der Regel 
mindestens die Schiasselspeicherdateien. 

# Chiffrieranweisungen und Algorithmen zur PrQfxang von 

steuervektoren - Der Anweisungssatz und die Algorithmen zur 
Priifung von Steuervektoren sind in der sicheren Chiffrier- 
vorrichtung implementiert und im Chif f rieranweisungsspei- 
cher 10, einem Direktzugrif f sspeicher , gespeichert. Sie 
werden in eineia Mikroprozessor wie z.B. einein Intel 80286 
ausgeftihrt, der als Chif frierverarbeitungseinheit 16 dienen 
kann. Die Steuervektor-Prttf einheit 14 kann ebenfalls in der 
Chif frierverarbeitungseinheit 16 oder in einem zweiten Mi- 
kroprozessor wie z.B. einem Intel 80286, der als Steuervek- 
tor-Prufeinheit 14 fungiert, implementiert sein. 

Programmspeicher und Verarbeitungsmaschine - Das System 
kann auch einen Speicher innerhalb der CF, in dem Programme 
des Benutzers gespeichert werden, sowie eine Verarbeitungs- 
maschine zur Ausfuhrung dieser Programme enthalten. Ein 
Beispiel dafOr ist ein Programm oder ein Makro zur Ausfuh- 
rung neuer Algorithmen zur Oberprtif ung der personlichen 
Identifikationszahl oder fur neue Identif ikationszahlf orma- 
te. 

Zufallszahlengenerator 26 - Der Zuf allszahlengenerator ist 
eine algorithmische Prozedur zur Erzeugung einer 64 Bit 
langen Pseudozuf allszahl . Der Algorithmus selbst ist nicht 
geheim, verwendet aber zwei 128 Bit lange geheime Schltissel 
und einen 64 Bit umfassenden nicht geheimen InkrementalzSh- 
ler. Obwohl also einige Komponenten nicht geheim sind, ist 
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die Integritat und die richtige Verwaltung des Zahlers ent 
scheidend fttr die Sicherheit. 

Die Chiffriervorrichtung CF ist eine sichere Implementierung, 
die den Datenchif f rieralgorithinus enthalt, und ein Speicher fQr 
eine geringe Anzahl von Schltissel- und Datenparametern im Chif- 
frieranweisungsspeicher 10. Auf diesen kann nur aber nicht mani 
pulierbare Schnittstellen (geschatzt vor unbefugtem Eindringen, 
Umgehung und TSuschung) zugegriffen werden, die die Eingabe von 
Verarbeitungsanforderungen, Schiasseln und Dat:enparaiae-tem und 
den Empfang umgewandeltier Ausgabedatien erlauben. 

Der ANSI Datenchif frieralgorithmus (DEA) ist ein Standardchif f- 
rieralgorithmus fiir konunerzielle Datenschutzprodukte . Der DEA 
ist ein symmetrischer Blockchif f rieralgorithmus ^ der mit einem 
56 Bit langen geheimen SchlQssel 64 Bit Klartext so chiffrieirt, 
daB der verschiasselte Text ebenfalls 64 Bit lang ist. DEA- 
Schlussel werden in der Regel mit einem Paritatsbit pro Byte 
gespeichert, so daB ein 64 Bit langer Schldssel entsteht. Der 
DEA bildet die Grundlage fiir den vom National Bureau of Stan- 
dards genehmigten bundesweiten Datenchif friers tandard und wird 
auch als DES bezeichnet. 

Die Chiffriervorrichtung muB dera MiBbrauchsversuch eines bdswil- 
ligen Insiders mit beschrSnktem Zugrif f zur Chif f rierungshardwa- 
re standhalten kdnnen. "BeschrSnkt" bedeutet hier, daB die er- 
laubte Zugrif fszeit nicht in Tagen Oder Wochen^ sondern in Minu- 
ten Oder Stunden zu messen ist^ und der Angriff kann nur an dem 
Ort erfolgen, an dem das System installiert ist^ und nur unter 
Verwendung beschrSnkter elektronischer Ausrustung. Ein Laboran- 
griff an einem vom Gegner kontrollierten Ort unter Zuhilfenahme 
komplizierter elektronischer und mechnischer Ger&te ist hier 
nicht gemeint. 

Die Chiffriervorrichtung muB Versuche, sie physisch auszuspio- 
nieren Oder in sie einzudringen, erkennen. DafQr stehen ver- 
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schiedene elekt:roinechanlsche Erkennungsvorrichtungen zur Verfti- 
gung. 

Die Chiffriervorrichtung muB daftlr sorgen, daB alle intern ge- 
speicherten unchif frierten Schltissel automatisch auf Null zu- 
riickgesetzt werden. Diese Riicksetzung muB automatisch erfolgen^ 
sobald ein Spionage- oder Eindringungsversuch festgestellt wird. 
AuBerdeiD muB die Chif friervorrichtung so konstruiert sein, daB 
eine manuelle Racksetzung der SchKisselspeicher auf Null tLber 
die Schnittstelle an der Vorderseite mSglich ist. 

Die Chif friervorrichtung enthalt einen Hauptschliissel KM. Alle 
anderen Schltissel konnen auf einem Massenspeicher gespeichert 
werden, wobei sie unter einem Schiassel chiffriert sind, der 
durch eine EXKLUSIV-ODER-Verkniipfung des HauptschlQssels mit 
einem gtlltigen Steuervektor gebildet wird. Eine exemplarische 
Chif friervorrichtung ist in der US-Patentschrift 4^386,234 mit 
dem Titel "Cryptographic Communications and File Security Using 
Germinals" von Ehrsam et al. beschrieben, die auf die IBM Corpo- 
ration Obertragen wurde und mittels Referenz Bestandteil der 
vorliegenden Patentschrif t ist. 

Das CFAP ist die Programmierschnittstelle zwischen der CP und 
dem Anwendungsprogramm. Da Benutzer keinen direkten Zugriff zu 
der Chif friervorrichtung hcODen, ist das CFAP die Programmier- 
schnittstelle^ Ober die die Benutzer der CF Anweisungen zur Aus- 
fOhrung bestimmter Operationen erteilen kdnnen. 

Dem CFAP ist der Schlttsselspeicher auBerhalb der CP zugeordnet, 
in dem die chif frierten Schltissel gespeichert sind. Schiassel im 
Klartext werden nicht auBerhalb der CF gespeichert. Der Schltis- 
selspeicher 22 wird in der vorliegenden Patentschrift auch als 
"Chiffrierschiasseldatei" (CKDS) bezeichnet. 

# Das CFAP besteht aus folgenden Komponenten: 
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- Dem Schltisselspeicherverwalter zur Verwaltiing der im oben 
genannten SchlOsselspeicher gespeicherten Schliissel. 

- CFAP-Makros, durch die die Benutzer auf die CF zugreifen, 
um Chif frierfunktionen auszuffihren. 

Zu den Anwendtrngsprogrammen zahlen Anwendungsprogranme der Be- 
nutzer, einige Dienstprogramme wie z^B. ein SchlUsselin- 
s-balla'tionsprogranun, und Da-benubertragxingsprogranmte wie z.B. IBM 
VTAM. 

Anwendungsprogranme der Benutzer bestehen aus Anweisungen, die 
bestiramte CFAP-Makros aufrufen, um eine bestimmte Aufgabe 
durchzufuhren. Wie bereits erwShnt ist das CFAP die einzige 
Schnittstelle, durch die Anwendungsprogreunme die Ausfmirung ei- 
ner Chif frierfunktion von der CF anfordern k6nnen. Ein Benutzer 
will beispielsweise eine Datei chiffrieren, bevor er sie an ei- 
nen anderen Netzwerkknoten sendet. Sein Anwendungsprograxnm kann 
dafar eine Anweisung enthalten, die ein CFAP-Makro zur Generie- 
rung eines SchlHssels aufruft, und eine weitere Anweisung, die 
ein anderes CFAP-Makro zur Chiffrierung der Dateidaten unter dem 
generierten Schliissel aufruft. 

Ein anderes Beisplel fttr ein Benutzerprogramm ist ein Prograima, 
das ahnlich wie das oben genannte Installationsprogramm die ma- 
nuelle Installation von SchlUsseln auf dem System ermoglicht. 

In Fig. 3 ist die Verwendung von Steuervektoren fttr die 
Schiasselverteilung \mter mehrere Anwendungen in einer Ketzwerk- 
umgebung dargestellt. Es ist zu beachten, daB aus Granden der 
Kompatibilitat einige Schldssel ohne Steuervektoren vergeben 
werden mussen. 

# Notation - im folgenden wird folgende Notation verwendet: 

ECB Elektronisches Codebuch 
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CBC cniffreblockJcettung 
KM 128-Bit-Hauptschiassel 
KEK 128-Bit-Schiasselchiffrierschiassel 
K 64-Bit-Schl<issel 
*K 128-Bit-Schlussel 
(*)K 64- Oder 128-Bit-Schlussel 

KD 64-Bit-Datenchlf frierschlussel 

KK 64-Bit-Schlusselchiffrierschlussel 
*KK 128-Bit-Schl<isselchiffrierschiassel 
KKo 64-Bit-SclilQsselchiffrierschiassel mit Off- 

set 

*KKo 128-Bit:-Schiasselcliiffrierschiassel mit Off- 

set 

(*)KKo 64- Oder 128-Bit-Schltisselchif f rierschlussel 

mit Offset 

*KKNI partieller beglaubigender 128-Bit-Schiassel- 

chiffrierschltissel 
*KN 128-Bit-Beglaubigungsschiassel, gleichbedeu- 

tend mit *KKNIo 
cx 64 -Bi t-Steuervektor 

CxIj Linker 64-Bit-Steuervektor 

CxR Reenter 64-Bit-Steuervektor 

XOR Oder xor EXKLUSIV-ODER-Verkntlpf ung 
or Logische ODER-Verknttpfung 

X '0' Hexadezimalschreibweise 
11 Verkettungsoperation 
[X] Optionaler Parameter x 

not = Ungleich 
E Oder e Einfache Chif frierung 

D Oder d Einfache Dechif frierung 

EDE Oder ede Dreifach-Chif frierung 
DED Oder ded Dreifach-Dechif frierung 
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Die Funktion aller Anweisungen ist in folgender Form mathema- 
tisch darges-bellt: 

II, 12, 13, 14,... 01, 02, 03,... 

wobei II, 12, 13,... die Eingabedaten tilr die Funktion und 01, 
02, 03,... die Ausgabewerte der Funktion sind. 

KM.Cx (KML XOR Cx) 11 (KMR XOR Cx) = KMY 11 KMX 

wobei KML = linke 64 Bit des Hauptschiassels KM, 

KMR = rechte 64 Bit des Hauptschlussels KM, 
KMY = KML XOR Cx 
KMX = KMR XOR Cx 
ist. 

e*KM . Cx ( Schlussel ) 

e*KM.Cx(Schlussel) = eKMY(dKMX(eKMy (SchlUssel ) ) ) 
wobei KMY = KML XOR Cx 

KMX = KMR XOR Cx 

Schiassel = 64-Bit-Schiassel ist. 

e*KEKn . CX ( Schlussel ) 

e*KEKn . Cx ( Schiassel ) ^ eKEKY ( dKEKX ( eKEKY ( Schiassel ) ) ) 

wobei KEKY = KEKnL XOR CxL 

KEKX = KEKnR XOR CxR 
Schiassel = 64-Bit-Schiassel ist. 

e*KM . CxL ( KeKnL ) 

e*KM.CxL(KEKL) = eKMY {dKMX(eKMY (KEKnL) ) ) 
wobei KEKL = linke 64 Bit des KEK 

KMY = KML XOR CxL 

KMX = KMR XOR CxL ist. 

e*KM. CxR (KEKnR) 
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e*KM.CxR(KEKR) = eKMY ( dKMX ( eKMY ( KEKnR ) ) ) 
wobei KEKR = rechte 64 Bit des KEK 

KMY = KML XOR CxL 

KMX = KMR XOR CxL ist 

e*KEKo ( Schlussel ) 

e*KEKo(Schiassel) = eKEKLo(dKEKRo(eKEKLo(Schltissel) 
wobei KEKLo = KEKL XOR cntr 

KEKRo = KEKR XOR cntr 

cntr = impliziter 64-Bit-Schiasselmel- 

dungs zdhler fttr KEK 

Schiassel = 64-Bit-Schlussel ist. 

# Kryptographische SchlQsseltrennung 

Die schiassel sind kryptographisch nach SchlUsselart und Verwen- 
dungsattributen getrennt. 

1. Die Architektur gewahrleistet, daB Chif frierschiassel nur 
auf die vorgeschriebene und beabsichtigte Weise benutzt 
werden kdnnen. 

2. Interne Trennung im Gegensatz zur Trennung bei der Obertra- 
gxing. Intern (d.h. innerhalb der Chif f riervorrichtung) sind 
die SchlQssel durch Steuervektoren Oder andere geeignete/- 
gleichwertige Mechanismen getrennt. Bei der Obertragung 
sind die Schltissel mittels Steuervektoren getrennt. 

3. Erzwingung mittels Hardware im Gegensatz zur Erzwingung 
mittels Software. Eine gewisse kryptographische Trennung 
ist hardwaremSfiig implementiert; eine weitere kryptographi- 
sche Trennung kann durch Software implementiert weVden. 

4. Steuervektor-Schiasselarten und Kompatibilitatsmodus- 
Schiasselarten. Damit die Kompatibilitdtsmodus-SchlOssel- 
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arten die Sicherheit nicht beeintrachtigen , warden be- 
stiimte Regeln bezuglich der Generierung, Verteiltmg und 
Verwendung dieser Schiasselartenklassen f estgeschrieben* 

5. GemSB der Erfindung sind folgende Schlusseltrennungen er- 
forderlich: 

a) Daten/Vertraulichkeit. ENCIPHER von DECIPHER, erlaubt 
Protokolle jnit dffentlichem Schlussel wie z.B. Mall* 
box, elektronische Abstlsuaungen und Welt:erleltung« 

b) Daten/MAC. MACGEN von MACVER, berGcksichtlgt die 
Nicht-Zuruckwels\ing (entspricht elektronischer Unter- 
schrift) . 

c) Daten/XLT. Erlaubt die Einrichtung eines sicheren Um- 
wandlungskanals, in dem zwlschengeschalt:e-te Gerate die 
chlffrlerten Daten nlcht dechlf frieren kdnnen. 

d) Daten/Kompatlbllitat. LSBt den Kompatlbilltatsmodus 
zu, ohne die Sicherheit: anderer Datenschiassel zu be- 
eintrachtigen . 

e) Daten/ANSI. Erlaxibt die Koexistenz der Schlussel ver- 
wal-tung nach ANSI X9.17 und der nicht dem ANSI X9,17- 
Protokoll entsprechenden Schlfisselverwaltung ohne Si- 
cherheitsverlust auf beiden Seiten. 

f ) SchlQsselchif f rierschlttssel . KEK-Sender von KEK-Emp- 
f anger . 

g) PIN-Schlussel . PIN-Generlerungsschltissel vom PIN-Chif- 
f rierschlussel . 

Fur Fig. 4 bis Fig. 9 wird folgende Notation vezvendet: 

# Notation : 

Bel jeder Linie, die aus einem KSstchen koiamt, steht ein Tren- 
nungsbuchstabe und eine Priori tatszahl . Der Trennungsbuchstabe 
entspricht der nachstehenden Beschreibung. Der Prior itatszahlen- 
bereich (1 bis 4) ist folgendermaBen zu interpretieren : 
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1. Absolut notwendig 
2« Dringend enpfohlen 
3 • Empf ohlen 
4 • WCtnschenswert: 

# Grundsatzliche SchlQsseltrennxing 

In Fig* 4 ist die grundsStzliche Trennung der Chif f rierschlQs- 
selarten dargestellt. Dabei gilt folgendes: 

1* A. Datenschiassel : KEKs und PIN-Schlussel - Wenn Da ten- 
schiassel (KD) nicht von KEKs und PIN-Schltisseln getrennt 
sind^ kann die Daten-Dechif frierfunktion in Verbindung mit 
Datenschiassel zur Dechif frierung von KEKs und PINs miB- 
braucht werden. 

2. B. SchlusselchiffrierschlQssel : PIN-Schltissel - Wenn KEKs 
(Schiasselchiffrierschliissel) nicht von den PIN-Schlusseln 
getrennt sind^ kann ein AuBenstehender einen chiffrierten 
PIN-Block abfangen und ihn anstelle eines chiffrierten KD 
dechif frieren. Ein Insider k6nnte in der chif frierschlus- 
seldatei des Empf angerknotens den chiffrierten gespeicher- 
ten KEK zukOnftig durch den chiffrierten gespeicherten PIN- 
Schltissel ersetzen. Der PIN-Block wOrde dann im Empf anger- 
knoten wiederhergestellt und als Datenschltissel verwendet. 
Danach waren die Daten, die mit diesem PIN-Block als Daten- 
schltissel chiffriert werden, wesentlich leichter einem 
Schiasselerschopfungsangriff auszusetzen, da die Variabili- 
tat vom PINs (in der Regel vier bis sechs Dezimalstellen) 
wesentlich geringer ist als die eines zufSlligen 56-Bit- 
Datenschlussels • 



# Datenschiasseltrennung 
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Fig. 5 is-t das FluBdiagramm der Datenschliisseltrennung. Fur die 
Trenniing sprechen folgende GrOnde; 

1. A - Identif ikationsOberprtifung : Vertraulichkeit - Ein In- 
sider, der unverschiasselte Daten und den entsprechenden 
niit einem MAC-Schltissel chiffrierten Text in Erfahrung 
bringen kann, kann einen Angriff gegen die MAC-Prozedur 
verOben. £s wSre beispielsweise m6glich, betrugerische 
Nachrlch-ben und MACs, die durch den MAC-Algorithmus als 
richtig identif iziert und akzeptiert werden, zu entwerfen. 
Die zur Chiffrierung bzw. Dechif frierung von Daten benutz- 
ten Datenschiassel dttrfen deshalb nicht zur Identifika- 
tionsaberprafung von Daten eingesetzt werden. Wenn bei der 
Ubertragung ein MAC-Schlussel durch einen abgefangenen Da- 
tenschiassel ersetzt werden kann, konnte der ubermittelte 
(laiter diesem Datenschiassel) chiffrierte Text zur Erzeu- 
gung einer betragerischen Nachricht und eines falschen MAC 
miSbraucht werden. 

B - XLT Chiffretext : Vertraulichkeit - XLT Chiffretext 
impliziert per definitionem die Verwendung eines Daten- 
schiasselpaares KDl und KD2, wobei der unter KDl ver- 
schiasselte Chiffretext unter KDl dechif friert vmd an- 
schlieBend unter KD2 erneut chif friert wird, ohne daB die 
Daten dem aufrufenden Anwendxingsprogramni zugSnglich gemacht 
werden. Andernfalls konnte XLT Chiffretext mit den vorhan- 
denen Chiffrier- und Dechif frierfunktionen ausgefahrt wer- 
den* 

C - ANSI 2 alle Obrigen - ANSI-Schlttssel haben ein eigenes 
Schiasselverteilungsprotokoll und zusatzlich einen ladgli- 
chen Verwendungszweck, die als ANSI COMBINE KEYS bezeichnet 
werden. Diese Unterschiede erfordern einen separaten Pool 
fOr alle ANSI-Schiassel . 
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D - Datenkompatibilitat : alle ubrigen - Datenkompatibili- 
tMtsschiassel existieren, weil die Kompatibilitat mit alte- 
ren Systemen wie IBM CUSP/3848, IBM PCF und IBM 4700 not- 
wendig ist. Da die erzwungene interne Trennung bei diesen 
Systemen sich nicht auf die Ebene der Unterscheidung zwi- 
schen MAC-SchlQsseln und Vertraulichkeitsschiasseln er- 
streckt, mussen diese SchlQssel von den CV-Schiasseln , die 
eine solche h5here Trennungsebene iinterstatzen, abgegrenzt: 
werden. 

2. B - MACGEN : MACVER - Liefert ein Prttf protokoll als "Be- 
leg", wer eine Nachricht und MAC gesendet hat (Nicht-Zu- 
ruckweisung) . Dieses Verf ahren ist nicht sicherer als die 
CF und geht von einem gegenseitigen Vertrauen in die Inte- 
gritat und Geheimhaltung der in der CF gespeicherten 
Schiassel aus. 

3. c - Chiffrierung : Dechif f rierung - Chif frier- und De- 
chiffrierfunktion sind tatsSchlich getrennt, so daB Daten 
unter einem Datenschlussel chiffriert werden k6nnen, ohne 
daB der gleiche Datenschiassel auch zur Dechif f rierung zu- 
gelassen ist. Ein Datenschiassel, der nixr zur Chiffrierung 
von Daten benutzt werden kann, k5nnte beispielsweise fOr 
ein Abstiiniuungsverf ahren verwendet werden, in dem eine 
Stimme abgegeben und weitergereicht wird. Ein nur fur die 
Dechif f rierung zugelassener Schiassel k5nnte beispielsweise 
in einer Umgebung benutzt werden, in der ein Benutzer be- 
stiiraate Daten nur lesen, aber nicht schreiben darf . 

# Trennung von PIN-SchlQsseln 

Fig, 6 ist das FluBdiagranm der PIN-Schiasseltrennung. FQr die 
Trennung gibt es folgende Grilnde: 
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1- A - PIN-Generierungsschlussel : PIN-Chif frierschlussel - 
Ein Insider, der veranlassen kdnnte, daB einem PIN-Block 
ein gxiltiger ID-Wert zugewiesen iind dieser PIN-Block dann 
unter elnem PXN-Generierungsschldssel anstielle eines PIN- 
Chif frierschiassels chiffriert wird, k6nnte PINs offenle- 
gen. 

B - PIN-Generierungsfunktion : PIN-Chif frierfunktion - Bei 
der PIN-Generierung ena6glicht: das Attribut "PIN 
chiffrieren" die Trennung von PIN-GenerierungsschlUsseln, 
mit denen PINs im Klartext erzeugt werden, von PIN-Generie- 
rungsschlusseln, die in jedem Fall chiffrierte PINs erzeu- 
gen mussen. 

C - PIN-Block erstellen und PIN generieren : PIN neu forma- 
-tieren, PIN fiberprafen und PIN uiawandeln - Diese Unter- 
scheidung ermoglicht die Verwendung von PIN-Chif frier- 
schlUsseln in Verbindung mit routinemSBigen PIN-Verarbei- 
txingsfunktionen wie Neufonnatierung^ Oberprafung und Um- 
wandlung von PINs, ohne daB PIN-Schiassel verwendet werden 
dOrfen, oder die Erstellung Oder anderweitiige "EinfQhrung" 
von PINs in das Netzwerk in einer elektronischen Geschwin- 
digkeit. Auf diese Weise kann die Herstellung von Oberset- 
zungslisten von Klartext-PINs und chiffrierten PINs bei 
elektronischer Geschwindigkeit verhindert werden. Diese 
w^ren beim Ausspionieren und Wiederherstellen von PINs ohne 
direkte Dechif f rierung ntitzlich. Es lauB streng kontrolliert 
werden, wo, wann und unter welchen Bedingungen PINs in das 
System eingefOhrt werden kdnnen. 

4. D - PIN-Block erstellen : PIN generieren - Die Einftlhrung 
von PINs in das Netzwerk kann besser kontrolliert werden. 
Ein Knoten, an dem PIN-Biacke erstellt werden mQssen, hat 
nicht unbedingt die Berechtigung Oder die Notwendigkeit , 
PINs zu generieren. 



3. 
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E - PIN neu formatieren und Oberprufen : PIN imwandeln - 
Die PIN-Verarbeitungsfunktionen im Netzwerk konnen besser 
kontrolliert werden. Bin Knoten, an deio PINs umgewandelt 
werden mttssen und dUrfen, hat nicht unbedingt auch die Be- 
rechtigung, eine PIN neu zu fonnatieren Oder zu uberpriifen. 
Die letzteren beiden Funktionen konnen gemeinsam benutzt 
werden, um die Gaitigkeit von PINs mittels eines internen 
Angriffs auslaufen zu lassen, wohingegen die Funktion zur 
UiQwandlung von PINs von manchen Knoten verwendet werden 
kann, ohne die vollstSndigen Verarbeitungsmoglichkeiten aus 
der Hand zu geben. 



# Trennung von Schlusselchif f rierschiasseln 

Fig. 7 ist das FluBdiagramm der Trennung von Schlusselchif f rier- 
schiasseln. Fur diese Trennung gibt es folgende GrOnde: 

!• A - Beglaubigung - Nichtbeglaubigung - Ein Insider konnte 
veranlassen, daB ein SchlGssel, der ftir die Verwendxing mit 
einem Offset bestiinint ist, auch ohne Of f set/Beglaubigung 
benutzt werden kann, so daB die Variante des 
Schiasselwertes gleich einem alten Of fset-ZShlerwert ist. 
Umgekehrt konnte ein Insider veranlassen, daB ein Schias- 
sel, der nur fur die Verwendung ohne Offset bzw. ohne Be- 
rechtigung bestimmt ist, in einem Of f set-ProzeB verwendet 
wird, so daB der Offset des Schltissels gleich einer Varian- 
te ist, die nicht Ober einen privilegierten Modus in der 
Chif friervorrichtung oder durch einen Eintrag in der auto- 
risierten Variantentabelle erstellt oder generiert werden 
sollte. 

2. B - CV-KEKs : nicht-CV-KEKS - Von einer CV-Chif friervor- 
richtung ausgefuhrte Chif frieroperationen zur Unterstutzung 
anderer Nicht-CV-Netzwerkknoten mtissen nicht unbedingt eine 
Schwachstelle fur die Sicherheit des CV-Netzwerkknotens 
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sein. Ein CV-Systeia muB belspielsweise den Import von Ver- 
-braulichkeits- und Identif ikationsOberpraf ungsschiasseln 
(MAC-Schlfisseln) von elnexn Nicht-CV System des Typs IBM 
4700 Oder IBM 3848 iintersttttzen . In alien Fallen werden 
diese Datenschlussel unter der Variante 0 des gemeinsamen 
Mehrdomanenschiassels eropfangen. Slnd die MehrdomSnen- 
schiassel dieser Nicht-CV-Systeme nicht kryptographisch von 
den Mehrdomanenschliisseln von CV-Systemen getrennt, wSre es 
mdglich, einen far einen bestlnunten Verwendungszweck (fest- 
gelegt durch Variante 0 des Mehrdomdnenschiassels ) vorgese- 
henen Datenschiassel fUr ein CV-Systexn zu importieren und 
ihn fiir einen anderen Zweok (angegeben dixrch andere Varian- 
ten) 2u benutzen. 

C - KEK Sender : KEK Empfanger - Es wird die gleiche 
Richtungsgebundenheit ftir Mehrdomanenschliissel beibehalten 
wie beim aktuellen IBM 3848/CUSP und IBM PCF. AuBerdem ist 
eine bessere Kontrolle zur Verhinderung der unbefugten Er- 
stellung von KEKs far beide tibertragxangsrichtungen mdglich. 

D - GKS/XLATE : RFMK/GKS/XLT - Diese Trennung erlaubt KEKs 
zur Unterstatzung von GKS und XLT zur Auslieferung von Da- 
tenschiasseln, ohne daB zugleich der Export vorhandener 
unter dem Hauptschiassel (oder einer Variante des Haupt- 
schiassels) gespeicherter Datenschiassel erlaubt sein muB. 
Die vom CV-System benutzten Datenschiassel werden somit 
nicht dem Export ausgesetzt, sofern dies nicht erforderlich 
Oder gewanscht ist. 

E - GKS (nur Export) /XLT : GKS (allgemeine Verwendung) - 
Diese Trennung erlaubt es einem Knoten, als Schiasselver- 
teilungszentrale (KDC) oder Schiasselumwandlungszentrale 
(KTC) zu fungieren, ohne daB er die Moglichkeit hat, die 
generierten Datenschiassel innerhalb des generierenden Kno- 
tens zu benutzen. 



4. 
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6* F - RTMK : RFMK bei IBM 3838/CUSP (xmd kompatiblen Syste- 

men) - Diese Trennung unterstutzt die Richtungsgebundenheit 
bei IBM 3848/CUSP tind anderen systemen, die init CV-systemen 
kompa'tibel sind. 

Fig, 8 ist eine Ubersicht uber die Schltisseltrennungen und ihrer 
relativen Priori taten. Die hdchste Prioritat ist '1', die nied- 
r igs-te ' 4 ' . 

Fig. 9 ist eine Zusaxnzaenf assung der FluBdiagraime zur Schiassel- 
trennung. Die "Blatter" des Bauias bezeichnen die Chif f rieranwei- 
sungen, die von den verschiedenen SchlQsselarten Gebrauch ma- 
clien. 



Steuervektoren 
# Prinzip der Steuervektoren 

Der Steuervektor ist eine 64 Bit lange, nicht geheime Chif frier- 
variable zur Kontrolle der SchlQsselverwendung. Jedem im Chif- 
friersystem def inierten SchlUssel K ist ein Steuervektor C zu- 
geordnet, d.h. Schiassel und Steuervektor definieren ein Tupel 
(K, C). 

creder Steuervektor legt eine Steuervektorart CV TYPE, die grob 
definiert, wie der Schiassel verwendet werden darf , sowie die 
Regeln, wie der betreffende Schiassel an ein anderes System 
Qbermittelt werden darf , fest. Ein SchlQssel kann als Daten- 
schiassel, als Schlusselchif frierschiassel des Senders, als 
Schiasselchiffrierschiassel des Empf fingers, als PIN-Chiffrier- 
schlussel, als Zwischen-ICV, als Schiasselteil oder als Token 
fungieren. Zusatzliche Bits im Steuervektor definieren exakt, in 
welchen Chif f rieranweisungen und Parametereingaben der SchltLssel 
verwendet werden kann. Andere Bits regeln den Export des Schlus- 
sels, d.h., Ob der SchlUssel export iert werden darf Oder nicht. 
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Der Steuervektor ist Ober eine spezielle Chif f rierf unktion kryp- 
'tographlsch mit dem Schlussel gekoppelt. Angenommen, der Schlvis- 
sel K ist: in einem SchlQsselspeicher gespeichert; , dann isl: K 
unter einem durch EXKLUSIV-ODER-Verknapfung des Steuervektors 
mit dem Hauptschlussel gebildeten SchlQssel chiffriert, d.h. , K 
ist als Tupel (eKM,C(K), C) gespeichert; dabei bedeutet KM.C 
soviel wie KM xor C. Bei der Obertragung von K von einem Gerat 
an ein anderes wird eine Shnliche chiffrierte Form verwendet. In 
diesem Fall wird der Hauptschiassel KM durch einen Schliissel- 
chiffrierschiassel KEK ersetzt, wobei KEK ein Schlussel ist^ den 
sowohl der Sender als auch der EmpfSnger besitzt. K wird also 
als Tupel (eKEK.C(K), C) Qbertragen. Die Architektur verlangt 
nicht, daB der Steuervektor mit dem Schlussel zusammen gespei- 
chert Oder Obertragen wird, wenn sein Wert implizit aus dem Kon- 
text def iniert ist Oder mittels verfugbarer schltisselbezogener 
Informationen abgeleitet werden kann. 

Da der Steuervektor (C) aber die chiffrierte Form eKM.C(K) oder 
eKEK.C(K) eng mit dem Schlttssel (K) gekoppelt ist, kann K offen- 
sichtlich nicht aus der chiffrierten Form rekonstruiert werden, 
sofern C nicht richtig angegeben ist. Wenn also das Tupel 
(EKM.C(K), C) als Eingabe an eine angeforderte Chiff- 
rieranweisung Obergeben wird, prttft die Chif f riervorrichtung 
zuerst den fCir C angegebenen Wert und stellt fest, ob die ange- 
forderte Verwendung des SchlUssels zulSssig ist. Nur wenn dies 
der Fall ist, wird C zum Dechif f rieren von eKM.C(K) in den Klar- 
textwert von K innerhalb der Chif f riervorrichtung verwendet. 
Wird far C* ein falscher Wert angegeben, kann die 
Chif f riervorrichtung zwar kurzfristig dazu Oberlistet werden, 
C* zu akzeptieren, aber K wird dann nicht richtig rekonstruiert. 
Ein Benutzer hat also keine Mdglichkeit, den richtigen Wert von 
K wiederherzustellen, wenn er nicht den richtigen Wert fttr C 
angibt. Das Chif frierprinzip ist also die Grundlage, auf der die 
gesamte Architektur aufbaut; zusatzliche Sicherheit kommt nach 
Bedarf hinzu. 
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Der Steuervektor ist eine kompakte Datenstruktur zur Festlegung 
der Verwendungsattribute elnes Chif f rierschlUssels. Der Steuer- 
vektor ist Ober einen VerschlQsselungsprozeB kryptographisch an 
den Schlflssel gekoppelt. Dieser ProzeB ist so aufgebaut, daB der 
Schiassel nur dann richtig dechiffriert werden kann, wenn der 
Steuervektor richtig angegeben wird, (Die Ver^derung eines ein- 
zigen Bits im Steuervektor hat die Rekonstruktion eines ganz 
anderen Schltissels zur Folge * ) 

# SteuervektorprCkfung 

Der Steuervektor ist so aufgebaut, daB nur ein minimaler PrU- 
fungsaufwand erforderlich ist* Die Verwendungszweckbits sind so 
definiert und strukturiert , daB jedes Verwendungsattribut von 
sich aus einen bestiraraten Verwendungszweck erlaubt Oder verwei- 
gert- Die FShigkeit zur Chiffrierung von Daten (iber die Anwei- 
sung ''Daten chiffrieren" wird durch ein einziges "Chif frier"-Bit 
unter der Kontrolle des Steuervektors der Art/Unterart "Daten/- 
Vertraulichkeit" gesteuert. 

«7edes Verwendungsattribut wird also unabhangig von alien anderen 
Verwendungsattributen definiert. Dadurch ist eine Steuervektor- 
prUfung gewahrleistet, bei der jede Anweisung nur die von der 
angeforderten Funktion bendtigten Verwendtingsattribute prdft. 
Ein Verfahren^ bei dem Verwendungsattribute nur aktiviert wer- 
den, wenn bestiromte andere Attribute aktiv bzw, inaktiv sind, 
wird ausdracklich vermieden, da dies den Prtif ungsaufwand erhohen 
wurde. Die Querkontrolle von Attributen zweier oder mehrerer 
Steuervektoren ist zwar manchmal erforderlich, kann aber auf ein 
Minimum reduziert werden. 

Um die Steuervektorprufung zu erleichtern und zu vereinf achen, 
wird jeder Chif f rieranweisung bei Bedarf ein "Modus "-Parameter 
tLbergeben, in dem ein angegebener Verwendungszweck des SchlCis- 
sels bzw. der Schlussel, die als Parameter an die Anweisung 
Obergeben werden, deklariert wird. So wird jeder Steuervektor 
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gemaB dem angegebenen "Modus" gepruft. Dadurch wird die aufwen- 
dige Querkontrolle mehrerer Steuervektorattribute zur Gewahrlei- 
stung der Konsistenz uberflusslg. 

Der Aufbau der Steuervektoren arbeitet nach elnem Prinzip^ daB 
keine Chif frier anweisung einen Steuervektor generieren kann. 
Alle Steuervektoren werden den Chif f rieranweisungen als Parame- 
tereingaben prasentiert. 

Wenn rndglich bef inden sich gleiche Verwendungsa-btribute und 
Felddef initionen unabhtogig von der Art des Steuervektors immer 
an der gleichen Bitposition des Steuervektors. Die Anweisung zur 
Umwandlung von Chiffretext fragt beispielsweise beim Daten/Ver- 
traulichkeits-CV und beim Daten/Umwandlungs-CV die gleichen Bit- 
positionen ab^ obwohl die Verwendungszweckbits fur den Daten/- 
Vertraulichkeits-CV "E" und "D" lauten, wahrend sie far den Da- 
ten/Umwandlungs-CV "XOUT" und "XIN" lauten. 

# CV-Struktur - Im allgemeinen wurde die struktur der Steuer- 
vektoren (einschlieBlich der Formate, Felder und Bitzuord- 
nungen) so definiert, daB die Steuervektorprtifung minimiert 
und erleichtert wird und gleichzeitig ein hoher Sicher- 
heitsstandard erreicht wird. Die CV-Struktur ist sozusagen 
mit dem hdchsten Freiheitsgrad im EntwicklungsprozeB varia- 
bel. 

Im Steuervektor sind folgende Strukturaerkmale verwirklicht: 

1. Vertikale Trennung - Der Steuervektor besitzt ein "CV-Art"- 
Feld, in dem eine vertikale Trennung innerhalb der Steuer- 
vektorstruktxir vorgenommen wird^ Shnlich wie bei der Tren- 
nung durch Varianten. Steuervektorarten sind auf intuitiven 
Linien definiert, die der vorhandenen Schlusselterminologie 
und der Schlusselverwaltung folgen. Die vertikale Trennung 
wird unter der CA jedoch nur bei Bedarf implementiert, um 
so die Architektur einfach und die Regeln tHr die Steuer- 
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vektorprufung Obersichtlich zu gestalten. Indera zuerst gro- 
be Klassen von CV-Hauptarten (z.B. Datenschlussel , SchlQs- 
selchif f rlerschiassel , PIN-Schlfissel) und dann erst Unter- 
arten und Verwendimgsattribute innerhalb der CV-Art def i- 
niert werden, konnen die Regeln fur die Steuervektorprtif ung 
in ahnlicher Weise optimiert werden, wie das Prinzip "Tei- 
len und Herrschen" oft effektiver ist als rohe Gewalt. 

2, Horizontale Trennung - Der Steuervektor eignet sich ideal 
als Datenstruktur fOr die Angabe der Verwendungsattribute , 
die ftir einen SchlUssel (oder eine andere kryptographische 
Variable) gelten sollen. Innerhalb der CA geschieht dies, 
indem far jede Chif f rieranweisung, far die der Schlussel 
als Eingabe verwendet werden kann (oder fiir jeden SchlQs- 
selparameter in der Anweisung, falls laehrere Schliisselpara- 
meter beteiligt sind) ein Bit im Steuervektor gesetzt wird. 
Der Bitwert "l" bedeutet, daB eine bestimmte Verwendung des 
Schiassels dxirch die CF "aktiviert" ist; der Bitwert "0" 
hingegen bedeutet, daB die Verwendung des Schlttssels durch 
die CF "deaktiviert" ist. Diese Form der Strukturierung von 
Steuervektoren wird als horizontale Trennung bezeichnet. 

3. Codierte Felder - Ein Feld, das aus zwei oder mehr Bits 
besteht, ist manchmal aus Sicherheitsgranden codiert. Ein 

^ codiertes Feld hat die Eigenschaft, daB die einzelnen Bits 

selber keine eigene Bedeutung besitzen, daB sie aber zusam- 
men einen Satz mdglicher Werte definieren. Codierte Felder 
haben den Vorteil, daB sie einander ausschlieBende Ereig- 
nisse definieren, da das Feld immer nur einen einzigen Wert 
enthalten kann. Codierte Felder haben aber auch den poten- 
tiellen Nachteil, daB die Steuervektorprtifung aus 
leistungsmSBiger Sicht nicht immer optimiert ist. Manchmal 
sind codierte Felder jedoch notwendig, damit gewShrleistet 
ist, daB Verwendungsattribute nicht zu unpassenden Kombina- 
tionen zusammengefUgt werden konnen, die einem Angriff auf 
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das Chif friersys-tem den Weg bereiten Oder das System schwa* 
clien konnen. 

4. Schu-tz vor nlcht vom System generierten Schlusseln - Das 
Verfahren der Kopplung von Steuervektor und SchlUssel ist 
60 aufgebaut, daB die SteuervektorprQfung nlcht zwischen 
einem vom System generierten SchlOssel (durch KGEN Oder 
GKS) und einem nicht vom System generierten Schiassel zu 
unterscheiden vermag. Es gibt deshalb in dieser Architektur 
elne "Hintertar" zur Generierung von Schlusseln und Steuer- 
vektoren. Sie besteht darin, einen "ausgewdhlten" Steuer- 
vektor und und eine Zufallszahl zu definieren, die dann als 
ein Schiassel dargestellt wird, der mittels des Steuervek- 
tors auf die unter der Architektur beschriebenen Weise co- 
diert ist. (Mit diesem Verfahren kann jedoch der tatsach- 
lich innerhalb der CF rekonstruierte Schiassel nicht kon- 
trolliert werden. ) Die sogenannte "Hintertttr" der Schlus- 
selgenerierung ist vor allem Idstig, auch wenn in einigen 
Fallen Angriffe auf die Chiffrierung denkbar sind, wenn in 
der Architektur keine zusatzlichen SchutzmaBnahmen getrof- 
fen werden. Es ware ein leichtes, eine Architektur zu defi- 
nieren, in der diese "Hintertar" (ein far allemal) aus der 
Welt geschafft ist; dies hatte jedoch eine zusatzliche Kom- 
plexitat mit m6glichen SicherheitslQcken und einen zusStz- 
c lichen Verarbeitungsaufwand zur Folge. Die CA verfolgt des- 

halb einen eher praktischen Ansatz, indem namlich die 
Schiasselgenerierung Ober die "HintertOr" nur dort verhin- 
dert wird, wo dies aus Sicherheitsgranden erforderlich ist* 
Auf diese Weise wird ein ausgewogenes Verhaitnis zwischen 
Sicherheit, Komplexitat und Leistung erzielt. Verfahren zur 
Vezmeidung von kryptographischen SchwSLchen, die durch die 
Schiasselgenerierung durch die "Hintertar" eingefOhrt wer- 
den, sind: 

a) Wenn n6tig werden nicht miteinander vertragliche Verwen- 
dungsattribute in einem einzigen Steuervektor auf zwei 
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Steuervektoren aufgeteilt. Die Anweisung GKS beinhaltet 
eine Prtifung, die verhindert, daB sogenannte schlechte 
SchlCLsselpaarkombina'tionen generiert werden. 
Bei Bedarf warden nicht miteinander vertrSgliche Verwen- 
dungsattribute in einexn einzigen Steuervektior zu einem ein- 
zigen codierten Feld zusaitoaengef aBt. 

Als letztes Mittel wird zusatzliche Redundanz eingeftlhrt, 
um der CF die Gultigkeitsprufung ihrer eigenen vom System 
generierten Schlussel zu ermdglichen. 

Gerade Paritat fttr Steuervektoren - Fur Steuervektoren wird 
gerade ParitSt erzwungen. Dadurch wird sichergestellt, daB 
die EXKLUSlv-ODER-VerknUpfung eines Schllissels mit ungera- 
der Paritat und des Steuervektors einen internen SchlQssel 
mit ungerader Pari tat ergibt* Dies gewahrleistet wiederum 
die Kompatibilitat mit einer Hardware, die solche intern 
€±)geleiteten Schltissel auf ungerade Pari tat praft (falls 
eine solche PrQfung erzwungen wird), Mit anderen Worten, 
die CA kann nicht garantieren, daB die Hardware keine unge- 
rade Pari tat bei internen SchlQsseln erzwingt* Ein Steuer- 
vektor umfaBt 64 Bits, die von 0 bis 63 durchnuiaeriert 
sind. Als hochstwertiges Bit ist Bit 0 vereinbart. Acht der 
64 Bits sind Paritatsbits • 

Anti-Varianten-Bits - Dadurch wird die kryptographische 
Trennung zwischen Varianten und Steuervektoren gewahrlei- 
stet, die bei einigen Implementierungen imvermeidlich in 
einem Knoten intern gemischt werden. 

Verroeiden von Zielabbildungen - Der Steuervektoraufbau und 
die Verarbeitung des Steuervektors tiber den Chif f- 
rieranweisungssatz vermelden Faile, bei denen CV-Felder mit 
mehreren Werten in einen einzigen Wert abgebildet warden. 
Einige Spezialfaile solcher Abbildungen sind erlaubt (z,B. 
bei den Anweisungen LCVA, RFMK und RTMK) , wo die Sicherheit 
nicht gefahrdet wird. 



88-011 



51 



# CFAP-Steuerung 

Bestiimnte Bits im Steuervektor sind f^r das CFAP reserviert. 
Diese Bits konnen vom CFAP far eine weitergehende Steuerung der 
Schiasselverwaltung benutzt warden. Sie werden nicht von der CF 
geprOft, sondern allein vom CFAP verwaltet. 

Allaemeines For mat: fur Steuervektoren 

In Fig. 10 ist das allgemeine Format der Steuervektoren darge- 
stellt. In der ersten Reihe der Tabelle sind die Felder aufge- 
ftihrt, die bei den meisten Steuervektoren gleich sind, Sie wer- 
den im folgenden kurz beschrieben (Einzelheiten sind nachfolgen- 
den Abschnitten zu entnehmen) . 

# CV-Art 

Dieses Feld bezeichnet die Art des Steuervektors und aufierdem 
die Schliisselart des Schliissels, dem dieser Steuervektor zuge- 
ordnet ist. Das Feld "CV-Art" besteht aus Hauptart und Unterart. 

Die Hauptarten von Steuervektoren sind: 

- Datenschldssel - Datenschlfissel werden zum Chiffrieren bzw. 
Dechif frieren von Daten Oder zur Identif ikationsCkberpr^fung 
von Daten verwendet. 

PiN-SchlQssel - PIN-Schliissel werden zum Chiffrieren oder 
Generieren von FXNs verwendet. 

Schiasselchiffrierschlflssel - Schiasselchif frierschiassel 
werden zum Chiffrieren von Schliisseln benutzt. 
Schlttsselteil - Ein Schiasselteil ist ein Teil oder eine 
Komponente eines SchlQssels, der €d3er die gleiche LSnge hat 
wie ein ganzer Schliissel. Ein Schllissel K kann beispiels- 
weise zwei Schltisselteile Ka und Kb besitzen, fClr die Ka 
XOR Kb = K gilt. 
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Zwischen-ICV - Ein Zwischen-ICV wird bei der MAC-Verarbei- 
-tung verwendet:, tm den Ausgabekettungszwischenwert OCV ei- 
nes Segments Oder elner Nachricht zu chiffrieren. Dieser 
OCV wird dann an das nSchste Datensegment Obergeben und als 
ICV verwendet. Dies geschieht, wenn eine Nachricht oder die 
Daten, mit denen ein MAC generiert Oder Clberpraft werden 
soil, lang sind und in kCLrzere Segmente aufgegliedert wer- 
den mOssen. 

Token - Tokens sind Variable zum Schutz der Integritat der 
in der Datenschiasseldatei (einem SchlQsselspeicher far 
DatenschlCLssel) gespeicherten Datenschlussel • Sie tragen 
dazu bei, den Zugriff nicht dazu berechtigter Benutzer auf 
Datenschlussel zu verhindem. 

Die Unterart ist eine weitere Dif ferenzierung der Schlusselklas- 
sen der gleichen Hauptart, Ein Schlussel der Hauptart "Daten- 
schlussel** kann zum Beispiel die Unterart "Vertraulichkeit" (fur 
Chiffrierung und Dechif f rierung) oder die Unterart "MAC" (ftir 
die DatenidentitatsuberprUfung) oder die Unterart "XLATE Daten" 
(fur die Umwandlung von Chiffretext) usw. haben* Wenn nicht zwi- 
schen Unterarten unterschieden wird, werden die Schiassel ge- 
wdhnlich mit der Hauptart (z,B. Datenschlussel, PIN-Schlussel 
usw • ) bezeichnet • 

# Exportkontrolle 

In diesem Feld wird angegeben, wie der Export des diesem Steu- 
ervektor zugeordneten SchlUssels geregelt wird und ob der 
Schiassel aberhaupt exportiert werden darf . 

# Von der CF erzwungene Verwendung 

In diesem Feld wird festgelegt, far welche CA-Funktionen der 
Schiassel benutzt werden kann, und wie er verwendet werden darf. 
Ein Datenvertraulichkeitsschiassel kann beispielsweise die Ver- 
wendungsattribute E = 1 und D « l besitzen, die besagen, daS der 
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Schiassel in der Chif frierfunktion und in der Dechif f rierf unk- 
tion 2um Chiffrieren bzw. Dechif frieren der Daten benutzt warden 



kann. 



# AV (Anti-variante) 

in diesem Feld wird jeder gdltige Steuervektor von den 64 vor- 
definierten Varianten unterschieden , die in Chif friersystemen 
benui:z-b werden, die auf Variantenbasis arbeiten. Da bei jeder 
der 64 vordefinierten Varianten alle acht Bytes gleich sind, 
wird dadurch, daB der Wert in AV-Feld so gesetzt wird, daS luin- 
destens zwei Byte des Steuervektors nicht gleich sind, ein giil- 
tiger Steuervektor von einer vordefinierten Variante unter- 
schieden. 

# Software-Bits 



In diesem Feld werden die Steuervektorbits angegeben, die aus- 
schlieBlich vom CFAP kontrolliert bzw. verwaltet werden. Das 
Softwarefeld wird nicht von der Hardware (CF) gepruft oder er- 
zwungen. Wenn kein steuervektor existiert, erstellt das CFAP aus 
der ihm (in der Kegel Clber Parameter in einem Makro) Obergebenen 
Information einen Steuervektor. Existiert bereits ein Steuervek- 
tor prQft das CFAP den Steuervektor (einschlieBlich des softwa- 
refeldes), um festzustellen, ob der Schltlssel auf die angegebene 
bzw. angeforderte Weise verwendet werden darf . Anders als die 
Software (CFAP) prtlft die Hardware ^CF) nur die Bits, die zu 
einer CA-Anweisung gehdren; andere Verwendungszweckbits werden 
nicht geprOft. 

# LSnge 



In diesem Feld wird festgelegt, ob es sich um einen 64-Bit-Steu- 
ervektor Oder um einen erweiterten Steuervektor mit einer Lange 
von 128 Bit handelt. Bei der derzeitigen CA sind alle Steuervek- 
toren 64 Bit lang. Dieses Feld wird jetzt definiert, damit der 



MA9-88-011 



54 

Steuervektor in der Zukunft leichter vergroBert werden kann, 
wenn die derzeitige LSnge von 64 Bit nicht mehr far die Defini- 
tion des Steuervektors ausreicht. 

# Reservierte Bits 

Dieses Feld ist fur eine zxikGnftige Verwendung durch das System 
reserviert . 

# Paritatsvektor 

Jedes Paritatsbit ist die gerade ParitSt der vorausgehenden 7 
Bits des Byte. 

Bei Steuervektoren fur Schliisselchif f rierschiassel gibt es neben 
den oben genannten alien Steuervektoren gemeinsamen Feldern noch 
zwei weitere Felder, namlich SCHlOsselform und VERBINDUNGSSTEUE- 
RUN6. 

# SchlUsselfona 

In diesem Feld wird die Schltisseliange (einfache oder doppelte 
LSnge) festgelegt und angegeben, ob die dem Steuervektor zuge- 
ordnete SchiasselhSlfte die rechte oder die linke Haifte des 
Schlttssels ist, Bei einexa Schliissel einfacher Lange ist die 
rechte Haifte mit der llnken und mit dem SchlUssel selbst 
identisch. 

# Verbindungssteuerung 

In diesem Feld wird angegeben, wie der diesem Steuervektor zu- 
geordnete SchlQsselchif f rierschlilssel zur Obertragung anderer 
SchlUssel verwendet wird, und an welche bzw. von welcher Art von 
System (CV-System oder Nicht-CV-System) Schltissel unter diesem 
Schiasselchif frierschltissel gesendet oder empfangen werden kon- 
nen. 
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Die Beschreibungen in der zweiten und dritten Reihe der allge- 
meinen Tabelle und anderer in diesem Abschnitt beschriebener 
Tabellen sind nicht Bestandteil des Steuervektors • Sie sind bier 
aufgefahrt, um folgende Informationen Ober die Felder des Steu- 
ervektors zu erg&nzen: 

In der zweiten Reihe ist die LSnge der Felder in Bit ange- 
geben. Die Abkurzung 'b' steht fOr 'Bit', lb bedeutet 
1 Bit^ 3b bedeutet 3 Bit usw. 

In der dritten Reihe steht, ob das Peld von der Hardware 
(CF) Oder von der Software (CFAP) geprflft wird. 

Steuervektorformat ftir Dat^ nschliissel 

Datenschiassel sind in folgende Unterarten xinterteilt: 

Datenkompatibilitatsschlttssel . Dies ist ein Datenschlussel , 
der zur Wahrung der Kompatibilitat mit aiteren Systemen wie 
dem IBM 3838/CUSP Oder dem IBM 4700 FCS benutzt wird. Da 
bei diesen Systemen keine kryptographische Trennung 
zwischen Vertraulichkeitsschlusseln und Identif ikations- 
ttberprafungsschlusseln erfolgt, kdnnen rait diesera Schlttssel 
folgende Funktionen ausgefOhrt werden: Chif frierung, De- 
chif frierung, MAC-Generierung und MAC-Oberprttf ung . Dieser 
Steuervektor kann beiin Export an andere Systeme (z.B. mit- 
tels der Anweisung RFMK) abgetrennt (d.h, bei der Obertra- 
gung durch CV = 0 ersetzt werden), wShrend die Steuervekto- 
ren far alle anderen DatenschlOssel mit Ausnahme von ANSI- 
Datenschiasseln nicht abgetrennt werden kdnnen. 
Vertraulichkeitsschiassel. Mit diesem SchlUssel kann nur 
chiffriert und/oder dechiffriert werden. 
- MAC-Schlussel • Dieser Schldssel wird nur zur Datenidenti- 

f ikationsOberprufung benutzt. Er kann also nur zur Generie- 
rung und/oder UberprUfung von MACs eingesetzt werden. 
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Datenumwandlungsschltissel (Daten-XLT-Schiassel) . Dieser 
Schltissel dlen^ zur Umwandlung von Chiffretext. 
ANSI-Schliissel • Dleser Schiassel wird in ANSI-Anwendungen 
verwendet. Er kann zum Chiffrieren und Dechif frieren von 
Da^en Oder zur Generierting und Oberprufung von lU^Cs benu1:zt: 
werden* Er kann auch Bit einem anderen ANSI-Schiassel zu 
einem ANSI MAC-Schiassel (d.h. einem ANSI-Datenschiassel 
mit der Magliclikeit: zur Generierung und OberprQfung von 
MACS) kombiniert werden. Dieser Steuervektor kann beim Ex- 
port an andere Systeme durch die Anweisung ARFHK abgetrennt 
(d.h* bei der Obertragung durch CV = o ersetzt) werden, 
wahrend die Steuervektoren fur alle anderen Datenschiassel 
mit Ausnahme von Kompatibilit&tsschiasseln nicht abgetrennt 
werden konnen. 

Je nach CV-Unterart des Steuervektors haben die Bits im Feld 
VERWENDUNG eine spezielle Bedeutung^ die im folgenden kurz er- 
lautert wird. 

Steuervektor ftir VertraulichkeitsschlQssel 

Das Format der Steuexrvektoren fOr Vertraulichkeitsschiassel ist 
in Fig. 11 dargestellt. Im folgenden werden die einzelnen Felder 
und Teilf elder dieser Tabelle ausfahrlich beschrieben. 

# CV-Art - fur Vertraulichkeitsschiassel (Hauptart = "Daten- 
schliissel", Unterart = "Vertraulichkeit" ) . 

# Exportkontrolle (regelt den Export dieses Schiassels): Die- 
ses Feld belegt ein Bit: 

EXPORTKONTROLLE = 1: Dieser SchlGssel kann durch RFMK ex- 
port iert werden. AuBerdem konnen die Anweisungen RFMK, RTMK 
und LCVA dieses Bit auf "0" setzen. 
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EXPORTKONTROLLE = O: Dieser SchlQssel kann nicht durch RFMK 
exportiert werden. Dieses Bit kann auch durch keine Anwei- 
sung in "1" ge&ndert werden. 

Als Beispiel soil angenonunen werden, ein Knoten X generiert: ei- 
nen Schiassel K und einen Steuervektor C iind sendet diese an den 
Knoten 

# Verwendung 

* E 

• E = 1: Dieser Schliissel kann in der Anweisung ENCIPHER zum 
Chiffrieren von Daten benutzt werden. 

E = 0: Dieser Schlussel kann nicht in der Anweisung ENCI- 
PHER zum Chiffrieren von Daten benutzt werden. 

* D 

D = 1: Dieser Schltissel kann in der Anweisung DECIPHER zum 
Dechif frieren von Daten benutzt werden. 

D « O: Dieser SchlQssel kann nicht in der Anweisung DECI- 
PHER zum Dechif frieren von Daten benutzt werden. 

# AV (Anti-Variante) 

Dieses Feld belegt zwei Bits und dient zur Unterscheidung des 
Steuervektors von den 64 vordef inierten Varianten, die von Chif- 
f^i®"ystemen auf Variantenbasis verwendet werden. Da bei alien 
64 vordef inierten Varianten alle acht Bytes identisch sind, kann 
ein gtiltiger Steuervektor von einer vordef inierten Variante \m- 
terschieden werden, indem mindestens zwei Bytes des Steuervek- 
tors verschieden gesetzt werden. 

# Software-Bits 
MA9-88-011 



58 

Dieses Feld belegt 12 Bit. 

# CV-Version - Dieses Feld ist 6 Bit lang und wird vom CFAP 
veirwendet, uro die aktuelle Steuervektordef inition von zu- 
kOnftigen Definitionen zu unterscheiden • 

# Software = Erzwungene Verwendung - Siehe auch Abschnitt 
aber das CFAP. 

CVDPIM (Steuervektor Da ten Vertraulichkeit ICV Vorge- 
schrleben) 

CVDPCU (Steuervektor Daten Vertraulichkeit CUsp) 

CVDP47 (Steuervektor Daten Vertraulichkeit 4700) 

CVDPM8 (Steuervektor Daten Vertraulichkeit Vielf aches von 

8) 

# liSnge - In diesem Feld wird angegeben, ob es sich um einen 
64-Bit-steuervektor oder um einen lILngeren erweiterten 
Steuervektor handelt. 

# Reservierte Bits - Dieses Feld ist fQr eine zukUnftige Ver- 
wendung durch das System reserviert. 

# ParitSt - Dieses Feld besteht aus dem letzten Bit jedes 
Bytes des Steuervektors • Das Paritatsbit jedes Bytes ist so 
gesetzt, daB das Byte gerade Paritat besitzt. 

Steuervektor far MAG- schlQssel 

Das Format der Steuervektoren fQr MAC-SchlQssel ist in Fig. 13 
dargestellt. Im folgenden werden die Felder und Teilf elder die- 
ser Tabelle ausfOhrlich erlSutert. 

# CV-Art - fOr MAC-Schiassel (Hauptart = "Datenschliissel" , 
Unterart = "MAC" ) . 
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Exportkontrolle (regelt den Export dieses Schlussels) - 
Hler gilt das gleiche wie fur VertraulichkeitsschlQssel, 



Verwendung 
HG 



MG 1: Dieser Schltissel darf in der Anweisung GMAC zur 
Generierung von MACS fQr Daten benutzt werden. 
MG « O: Dieser Schiassel darf nicht in der Anweisung GHAC 
zur Generierung von MACs fttr Daten benutzt werden. 

MV 

MV = 1: Dieser Schltissel darf in der Anweisung VMAC zur 
Oberpriifung von MACs far Daten benutzt werden • 
MV = 0: Dieser Schlussel darf nicht in der Anweisung VMAC 
zur tJberprafung von MACs ftir Daten benutzt werden. 

AV (Anti-Variante) - wie bei Vertraulichkeitsschlttsseln. 
Software-Bits - Dieses Feld belegt 12 Bit. 
CV-Version - Wie bei Vertraulichkeitsschiasseln. 

Durch Software erzwungene Verwendung - Siehe auch Abschnitt 
tkber das CFAP. 

CVDML4 (Steuervektor Daten MACLEN = 4) 
CVDM99 (Steuervektor Daten MAC MODE « ANSI X9.9) 
CVDM19 (Steuervektor Daten MAC MODE = ANSI X9.19) 
CVDMOO (Steuervektor Daten MAC MODE = IBM 4700) 
CVDM30 (Steuervektor Daten MAC MODE = IBM 4730) 

LSnge - Wie bei Vertraulichkeitsschiasseln. 
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# Reserviert:e Bits - Wie bei Vertraulichkeitsschltisseln. 

# Paritatsbit - Wie bei Vertraulichkeitsschiasseln. 
Steuervektor fQr Datenkompatiibilltai^ssGhiafigfti 

Das Format der Steuervektoren far Datenkompatibilitatsschltissel 
ist in Pig. 14 dargestellt. Im folgenden werden die Felder und 
Teilfelder dieser Tabelle ausfCLhrlich eriautert. 

# CV-Art - fur Datenkompatibilitatsschiassel (Hauptart = "Da- 
tenschiassel", Unterart = "Kompatibilitat" ) . 

# Exportkontrolle - Wie bei Vertraulichkeitsschiasseln. 

# Verwendung 

# E 

- E - 1: Dieser Schiassel kann in der Anweisung "Chif frieren" 
zuia Chif frieren von Daten benutzt werden. 

E « 0: Dieser SchlUssel kann nicht in der Anweisung 
"Chiffrieren" zum Chif frieren von Daten benutzt werden. 

# ? 

- D = 1: Dieser SchlUssel kann in der Anweisung "Dechif frie- 
ren" zum Dechif frieren von Daten benutzt werden. 

D = 0: Dieser Schltissel kann nicht in der Anweisung "De- 
chif frieren" zum Dechif frieren von Daten benutzt werden. 

# MG 

MG = 1: Dieser Schiassel darf in der Anweisung GMAC zur 
Generierung von HACs fttr Daten benutzt werden. 
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- MG = O: Dieser SchlOssel darf nicht in der Anweisung GMAC 
zxxr Generierung von MACs filr Daten benutzt werden. 

# MV 

MV - 1: Dieser Schlttssel darf in der Anweisung VMAC zur 
Oberprafiing von MACs far Daten benutzt werden. 
MV = 0: Dieser SchlQssel darf nicht in der Anweisung VMAC 
zur Oberprfifung von MACs ftir Daten benutzt werden. 

# AV (Anti-Variante) - Wie bei Vertraulichkeitsschiasseln . 

# Software-Bits - Dieses Feld belegt 12 Bit. 

# CV-Version - Wie bei Vertraulichkeitsschiasseln. 

# Software - Verwendung erzwungen 

# Lange - Wie bei Vertraulichkeitsschiasseln. 

# Reservierte Bits - Wie bei Vertraulichkeitsschiasseln. 

# Paritatsbit - Wie bei Vertraulichkeitsschiasseln. 

St^uervektor fOr Datenuinwandlunasschiassel 

Das Format der Steuervektoren far Datenumwandlungsschiassel ist 
in Fig. 15 dargestellt. Im folgenden werden die Felder und Teil- 
f elder dieser Tabelle ausfOhrlich erlSutert. 

# CV-Art - far Datenumwandlungsschiassel (Hauptart = "Daten- 
schiassel", Unterart = "XLATE"). 

# Exportkontrolle (regelt den Export dieses Schiassels) - 
Hier gilt das gleiche wie fttr Vertraulichkeitsschiassel . 
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# Verwendung 

# XDout 

XDout = 1: Dieser Schlttssel darf als AusgabedatenschlOssel 
in der Anweisung "Chiffretext umwandeln" benutzt warden. 
XDout = O: Dieser Schiassel darf nicht als Ausgabedaten- 
schiassel in der Anweisung "Chiffretext umwandeln" benutzt 
werden • 

# XDin 

XDin = 1: Dieser Schlussel darf als EingabedatenschlUssel 
in der Anweisung "Chiffretext umwandeln" benutzt werden. 
XDin = 0: Dieser Schlussel darf nicht als Eingabedaten- 
schltissel in der Anweisung "Chiffretext umwandeln" benutzt 
werden. 

# AV (Anti-Variante) - wie bei Vertraulichkeitsschltlsseln. 

# Software-Bits - Dieses Feld belegt 12 Bit. 

# CV-Version 

x: * Durch software erzwungene Verwendung - Keine. 

# Lange - Wie bei Vertraulichkeitsschlusseln. 

# Reservierte Bits - wie bei Vertraulichkeitsschlusseln. 

# Paritatsbit - Wie bei Vertraulichkeitsschlusseln. 
StQuervektoren far ANSI-Daten schlQssel 
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Das Format der Steueirvektoren fur ANSI-Datenschiassel ist in 
Fig. 16 dargestellt . Xm folgenden werden die Felder und Teilf el- 
der dieser Tabelle ausftihrlich erlautert. 

* CV-Art - fOr ANSI-SchlCLssel (Haup-tart « "Datenschiassel" , 
Unterart = "ANSI"). 

* Exportkontrolle - Wie bei VertraulichkeitsschlUsseln. 

* Verwendung 

* E 

- E = 1: Dieser Schliissel kann in der Anweisung "Chif f rieren" 
zum Chif f rieren von Daten benutzt werden. 

E = O: Dieser Schlttssel kann nicht in der Anweisung 
"Chif f rieren" zum Chif f rieren von Daten benutzt werden. 

* D 

- D = 1: Dieser SchlUssel kann in der Anweisung "Dechiff rie- 
ren" zum Dechiff rieren von Daten benutzt werden. 

- D = O: Dieser Schltissel kann nicht in der Anweisung "De- 
chiff rieren" zum Dechiff rieren von Daten benutzt werden. 

* MG 

- MG = 1: Dieser Schlussel darf in der Anweisung GMAC zur 
Generierung von HACs ftir Daten benutzt werden. 

MG = 0: Dieser SchlQssel darf nicht in der Anweisung GMAC 

zur Generienmg von MACs ftir Daten benutzt werden. 

* MV 

- MV = 1: Dieser SchlUssel darf in der Anweisung VMAC zur 
Oberprafung von MACS fflr Daten benutzt werden. 
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- MV « 0: Dieser SchlQssel darf nicht in der Anweisung VMAC 
zur OberprQfung von MACs fQr Da1:en benutzt werden. 

# ACMB - Dieses Bit gibt an^ ob der Datenschiassel durch XOR 
mit einem anderen Datenschiassel mit dem Attribut ACOMBKD 
verknupft werden kann. Die XOR-Verknapf ung erfolgt durch 
die Anweisung ACOMBKD, wie im Abschnitt "ANSI Combine KDs 
(ACOMBKD)" beschrieben. Der resultierende Schltissel dient 
zum Oberprafen und Generieren von MACs far die CLber das 
ANSI X9 . 17-Protokoll Obertragenen Nachrichten, 

ACMB = 1: Dieser Datenschiassel kann in der Anweisung ACMB 
verkniipft werden. 

ACMB = O: Dieser Datenschiassel kann nicht in der Anweisung 
ACMB verknapft werden. 

# AV (Anti-Variante) - Wie bei Vertraulichkeitsschlttsseln. 

# Software-Bits 

# CV-Version - Wie bei Vertraulichkeitsschiasselni 

# Durch Software erzwungene Vesrwendung - Keine. 

# LMnge • wie bei Vertraulichkeitsschiasseln. 

# Reservierte Bits - Wie bei Vertraulichkeitsschiasseln. 

# Paritatsbit - Wie bei Vertraulichkeitsschlttsseln. 
St^uervektorformat far PiN^schiQssei 

PIN-Schlussel sind in folgende Unterarten vmtergliedert: 

PIN-Chiffrierschlussel (PEKs) - Mit diesen Schlttsseln wer- 
den PINs chiffriert. 
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PIN-Generierungsschiassel (PGKs) - Mit diesen Schlusseln 
werden PINs generiert. Manchmal werden die PGKs auch als 
PIN-PrQfschiassel bezelchnet, da sle auch zum OberprOfen 
von PINs benut:zt: werden. 

StQUerveklroren fQr PTN-Chif fyier-«r.Mfi«pol 

Das Format der Steuervektoren ftir PIN-Chif f rierschiassel ist in 
Fig. 17 dargestellt. Im folgenden werden die Felder und Teilf el- 
der dieser Tabelle ausftlhrlich erlSutert. 

i CV-Art - fOr PIN-Chiffrierschiassel (Hauptart = "PIN- 
Schltissel", Unterart = "PIN-Chif f rierschlussel" ) . 

# Exportkontrolle - Wie bei Vertraulichkeitsschlusseln. 

# Verwendung 

* CREATE PINBIiK 

CREATE PINBLK = 1: Mit diesem SchlUssel kann der PIN-Block 
in der Anweistmg "PIN-Block erstellen" chiffriert werden. 
CREATE PINBLK = 0: Mit diesem SchlUssel darf der PIN-Block 
in der Anweisung "PIN-Block erstellen" nicht chiffriert 
werden. 

* GENPIN 

GENPIN = 1: Mit diesem SchlUssel kann die Eingabe-Kunden- 
identifikationszahl (CPIN) in der Anweisxing "PIN generie- 
ren" chiffriert werden. 

GENPIN = 0: Mit diesem SchlQssel darf die Eingabe-Kunden- 
identif ikationszahl (CPIN) in der Anweisung "PIN generie- 
ren" nicht chiffriert werden. 
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VERPIN = 1: Mit diesem SchlQssel kann die PIN-Eingabe an 
die Anweisung "PIN Oberprufen" chiffriert werden. 
VERPIN = o: Mit diesem Schlttssel darf die PIN-Eingabe an 
die Anweisung "PIN Oberprilfen" nicht chiffriert werden. 

XPIN in 

XPIN in « 1: Mit diesem SchlQssel kann die Eingabe-PIN in 
der Anweisung "PIN umwandeln" chiffriert werden. 
XPIN in = 0: Mit diesem Schlussel darf die Eingabe-PIN in 
der Anweisung "PIN umwandeln" nicht chiffriert werden. 

XPIN out 

XPIN out = 1; Mit diesem SchlQssel kann die Ausgabe-PIN in 
der Anweisung "PIN umwandeln" chiffriert werden. 
XPIN out = 0: Mit diesem Schlussel darf die Ausgabe-PIN in 
der Anweisung "PIN umwandeln" nicht chiffriert werden. 

AV (Anti-Variante) - Wie bei Vertraulichkeitsschliisseln . 

Software-Bits - Dieses Feld belegt 12 Bit. 

CV-Version - wie bei VertraulichkeitsschlQsseln. 

Durch Software erzwungene Verwendung - Keine. 

LSnge - wie bei Vertraulichkeitsschlttsseln. 

Reservierte Bits - Wie bei VertraulichkeitsschlUsseln. 

Paritatsbit - Wie bei Vertraulichkeitsschlusseln. 

Ste^erveKtQr fOr PIN-Generierunasschiaft^ ^7 
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Das Format der Steuervektoren fur PIN-Generierungsschlussel ist 
in Fig, 18 dargestellt:. Im folgenden werden die Felder und Teil- 
f elder dieser Tabelle ausfOhrlich erlSutert. 

# CV-Art - fQr PIN-Chiffrierschiassel (Hauptart = "PIN- 
SchlQssel"^ Unterart = "PIN-Chif f rierschlilssel") . 

# Exportkontrolle - wie bei Vertraulichkeitsschlusseln. 

# Verwendung 

# GENPIN - In diesem 2 Bit langen Feld wird angegeben, unter 
welchen Bedingungen der Schlussel in der Anweisung "PIN 
generieren" zur Generierung von PiNs oder PIN-Offsets ver- 
wendet werden darf . 

GENPIN = B'OO': nicht zur Generierung von PINs oder PIN- 
Offsets zugelassen . 

GENPIN = B'Ol': zur Generierung einer PIN oder eines PIN- 
Offset im Klartext zugelassen. 

GENPIN = B'lC: zur Generierung einer chiffrierten PIN oder 
eines chiffrierten PIN-Offset zugelassen. 
GENPIN = B'll': zur Generierung einer chiffrierten oder 
unchiffrierten PIN oder eines chiffrierten oder unchiff- 
rierten PIN-Offset zugelassen. 

*f GPIN - Mit diesem Bit wird angegeben, ob die Kunden-PIN 

(CPIN) chiffriert oder im Klartext als Eingabe an die An- 
weisung GENPIN verwendet werden kann. 

GPIN = 0: Chiffrierte oder unchif frierte PIN zugelassen. 
GPIN = 1: Nur chiffrierte PIN zugelassen. 

^ VERPIN - Mit diesem Bit wird angegeben, ob der SchlGssel 
als PIN-Prdfschiassel zur OberprUfung von PINs in der An- 
weisung "PIN Oberprafen" benutzt werden darf. 
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VERPIN = 1: Verwendung zur Oberprtifung von PINs zugelassen. 
VERPIN = 0: Verwendung zur Oberprufung von PINs nicht zu- 
gelassen • 

# VPIN - Mit diesem Bit wird angegeben, ob die in der Anwei- 
sung "PIN aberprQfen" zu prafende PIN im Klartext Oder in 
chif frierter Form an die Anweisung tkbergeben werden muS* 

VPIN = 0: Klartext oder chiffrierte PIN zugelassen. 
VPIN «= 1: Nur chiffrierte PIN zugelassen. 

# AV (Anti-Variante) - wie bei Vertraulichkeitsschltisseln. 
Dieses Feld belegt 12 Bit. 

# Software-Bits 

# CV-Version - Wie bei Vertraulichkeitsschiasseln* 

# Durch Software erzwungene Verwendung - Keine. 

# Lange - Wie bei Vertraulichkeitsschiasseln. 

# Reservierte Bits - Wie bei Vertraulichkeitsschiasseln. 

# Paritatsbit - Wie bei Vertraulichkeitsschlttsseln. 

Steuervektorformat fto Schiasselchif f riersc hlQssel 

SchlQsselchif frierschiassel sind in folgende Unterarten unter- 
gliedert: 

- KEK (Schiasselchif frierschlCtssel) Sender - Diese Art von 
SchlQsselchif f rierschldsseln wird zuia Senden oder Exportie- 
ren von Schiasseln benutzt. 

- KEK Empfanger - Diese Art von Schliisselchif f rierschKisseln 
wird zum Empfangen oder Inportieren von SchlCLsseln benutzt. 
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KEK ANSI - Diese Art von Schiasselchif f rierschlusseln wird 
in elner Schiasselverwaltungsumgebung nach ANSI X9.17 be- 
nutzt • 

Steuervektorf ormaii f iir KEK Sender 

Das Format der Steuervektoren far KEK Sender ist in Fig. 19 dar- 
gestellt. Im folgenden werden die Felder und Teilf elder dieser 
Tabelle ausfOhrlich erl&utert. 

# CV-Art - fOr KEK Sender (Hauptart = "Schltisselchif frier- 
schiassel", Unterart = "Sender"). 

# Exportkontrolle - Wie bei Vertraulichkeitsschiasseln . 

# Verwendiing 

# GKS - In diesem 3 Bit langen Feld wird festgelegt, ob der 
Schliissel als ExportschlUssel in einem Oder mehreren der 
folgenden Modi der Anweisung GKS verwendet werden kann: 
Import-Export, Lokal-Export und Export-Export. 

Bit 0: Import-Export-Modus. - In diesem Modus generiert die 
Anweisung GKS zwei Exemplare des Schiassels. Ein Exemplar, 
das als Importexemplar bezeichnet wird, liegt in einer Form 
vor, in der es spater vom generierenden Knoten importiert 
werden kann. Das andere Exemplar, das als Exportexemplar 
bezeichnet wird, liegt in einer Form vor, in der es an ei- 
nen anderen Knoten gesendet werden kann. 

Bit 0 = 1: Dieser SchlUssel ist f€br die Versendung des 
Exportexemplars des im IM-EX-Modus (Import-Export) 
generierten Schiassels zugelassen. 

Bit 0=0: Dieser Schlttssel ist nicht fOr die Versen- 
dung des Exportexemplars des im IM-EX-Modus (Import- 
Export) generierten Schiassels zugelassen. 
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Bit 1: Lokal-Export-Modus* - In dieseiu Modus generiert die 
Anweisixng GKS zwei Exemplare des Schliissels. Ein Exemplar 
des Schiassels ist far die lokale Benutzung bestiiamt (loka- 
les Exemplar), das andere liegt in einer Form vor, in der 
es an einen anderen Knoten gesendet werden kann (Export- 
exemplar) • 

Bit 1=1: Dieser Schlttssel ist fttr die Versendung des 
Exportexemplars des im Op-Ex-Modus (Lokal-Export-Mo- 
dus) generierten Schiassels zugelassen. 
Bit 1 = 0: Dieser Schltissel ist nicht fdr die Versen- 
dung des Exportexemplars des im Op-Ex-Modus (Lokal-Ex- 
port-Modus) generierten SchlOssels zugelassen. 

Bit 2: Export-Export-Modus, - in diesem Modus generiert die 
Anweisung GKS zwei Exemplare des SchlQssels, Die beiden 
Exemplare liegen in einer Form vor, die an jeweils einen 
anderen Knoten versendet werden kann. 

Bit 2 = 1: Dieser Schlussel ist fur die Versendung 
eines der beiden Exportexemplare des im Ex-Ex-Modus 
(Export-Export) generierten Schldssels zugelassen. Das 
zu versendende Exemplar wird durch einen Parameter in 
der Anweisung GKS angegeben. 
^ — Bit 2 = 0: Dieser Schiassel ist nicht fOr die Versen- 

dxmg von im Export-Export-Modus generierten Schlflsseln 
zugelassen. 

* RFHK - Dieses Feld belegt ein Bit. 

RFMK = 1: Mit diesem Schltlssel dtirfen Schiassel mittels der 
Anweisung RFMK an anderen Knoten exportiert werden. 
RFMK = 0: Mit diesem Schltlssel dtirfen Schiassel nicht mit- 
tels der Anweisixng RFMK an andere Knoten exportiert werden. 

* XLTKEY out 
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XLTKEY out = 1: Dieser Schliissel kann in der Anweisung 
"SchlQssel umwandeln" als Schlusselchif f rierschliissel zur 
Umchiffrierung eines zuvor unter einem anderen SchllLssel 
chif frierten Schldssels verwendet werden. 

XLTKEY out = 0: Dieser Schliissel darf nicht in der Anwei- 
sung "SchlGssel umwandeln" als SchlQsselchif f rierschlQssel 
zur Umchiffrierung eines zuvor unter einem anderen Schias- 
sel chiffrierten Schiassels verwendet werden. 

SchlQsselform - In diesem zwei Bit langen Feld wird ange- 
geben, ob es sich um einen kurzen Schldssel (einfache LSn- 
ge) Oder um einen langen Schlussel (doppelte Lange) han- 
delt, und ob es sich um die rechte Oder um die linke 
Schiasselhalfte handelt. 

Verbindungssteuerung - In diesem zwei Bit langen Peld wird 
festgelegt, wie dieser KEK bei der Datentlbertragung zum 
Senden oder Empfangen von Schiasseln verwendet werden kann. 

VERBINDUNGSSTEUERUNG = B'OO' ; entfallt. 

VERBINDUNGSSTEUERUNG = B'Ol': Nur CV. Das bedeutet, daB ein 
gesendeter SchlCLssel K unter einem Schlussel chif friert 
sein muB, der durch XOR-Verknapfung dieses KEK mit dera 
Steuervektor f€br den SchlQssel K gebildet wird. Diese Art 
der Verbindungsvimgebung oder des Kanals ist of f ensichtlich 
far den Austausch von SchlQsseln geeignet, wenn in beiden 
beteiligten Knoten die CA implementiert ist. 

VERBINDUNGSSTEUERUNG = B'lO': Nur CV = O . Das bedeutet, daB 
ein gesendeter Schiassel K unter diesem KEK chif friert sein 
muB, und nicht unter dem SchlQssel, der durch XOR-Verknilp- 
fvuig des KEK mit einem von Null verschiedenen Steuervektors 
gebildet wird. 

VERBINDUNGSSTEUERUNG = B'll': CV oder CV = 0. Dies bedeu- 
tet, daB ein gesendeter Schlussel entweder nur unter dem 
KEK Oder unter einem durch XOR-Verknupfung des KEK mit dem 
Steuervektor fttr den Schiassel K gebildeten Schiassel chif- 
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friert sein kann. Diese Kanalart eignet sich fiir einen CA- 
Knot:en, auf dem nicht nur Anwendimgen in einer CA-Umgebiing 
laufen, sondern auch Sltere Anwendungen, die keine Steuer- 
vektoren erkennen. Bei aiteren Anwendungen, die keine Steu- 
ervektoren erkennen, exportiert der Knoten Schiassel, die 
nur unter dem KEK chif friert sind. Bei Anwendungen, die in 
einer CA-Umgebung laufen, exportiert der Knoten Schiassel, 
die unter dem durch XOR-Verkniipf ung des KEK mit dem Steuer- 
vektor fixe den zu sendenden Schiassel gebildeten Schiassel 
chif friert sind. 

In dem Abschnitt Ober die Schiasselverwaltung wird die Verwen- 
dung dieser Kanalarten zum Austauschen von Schiasseln ausfahr- 
licher beschrieben. 

# AV (Anti-variante) - Wie bei Vertraulichkeitsschlusseln. 

# Software-Bits - Dieses Feld belegt 12 Bit* 

# CV- Version - Wie bei Vertraulichkeitsschiasseln. 

# Durch Software erzwungene Verwendung - Siehe auch Abschnitt 
aber das CFAP. 

CVKSKD (Steuervektor KEK Sender - DatenschlOssel senden) 
CVKSKP (Steuervektor KEK Sender - PIN-Schiassel senden) 
CVKSKK (Steuervektor KEK Sender - KEK senden) 

# Lange - Wie bei Vertraulichkeitsschiasseln. 

# Reservierte Bits - Wie bei Vertraulichkeitsschiasseln. 

# Paritatsbit - wie bei Vertraulichkeitsschiasseln. ^ 
Steuervektorformat fii r KEK Emof ancrer 
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Das Format der Steuervektoren far KEK EmpfSnger ist in Fig* 20 
dargestell-t. Im folgenden werden die Felder und Teilf elder die- 
ser Tabelle ausfUhrlich erlautert. 

# CV-Art - far KEK Empf&nger (Hauptart = "Schiasselchif f rier- 
schiassel", Unterart = "Empf anger" ) . 

# Exportkontrolle - Wie bei Vertraulichkeitsschiasseln. 
§ Verwendung 

# GKS - In diesem 2 Bit langen Feld wird festgelegt, ob der 
Schiassel als Exportschiassel in einem Oder mehreren der 
folgenden Modi der Anweisung GKS verwendet werden kann; 
Import-Export und Lokal-Imxport . 

Bit 0: Import-Export-Modus. - In diesem Modus generiert die 
Anweisung GKS zwei Exemplare des Schiassels. Ein Exemplar, 
das als Importexemplar bezeichnet wird, liegt in einer Form 
vor, in der es spater vom generierenden Knoten importiert 
werden kann. Das andere Exemplar, das als Exportexemplar 
bezeichnet wird, liegt in einer Form vor, in der es an ei- 
nen anderen Knoten gesendet werden kann. 

— Bit 0 « 1: Dieser Schiassel ist zum die Chiffrieren 
des Importexemplars des im IM-EX-Hodus (Import-Export) 
generierten Schiassels zugelassen. 

— Bit 0=0: Dieser Schiassel ist nicht zum Chiffrieren 
des Importexemplars des im IM-EX-Modus (Import-Export) 
generierten Schiassels zugelassen. 

- Bit 1: Lokal-Export-Modus • - In diesem Modus generiert die 
Anweisung GKS zwei Exemplare des Schiassels. Ein Exemplar 
des Schiassels ist far die lokale Benutzung (lokales Exem- 
plar) bestimmt, das andere liegt in einer Form vor, in der 
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es von eineia anderen Knoten importiert werden kann (Import- 
exexaplar) • 

Bit 1 = 1: Dieser Schiassel ist zur Chiffrierung des 
Importexemplars des im Op-Imp-Hodus (Lokal-Import -Mo- 
dus) generierten Schlfissels zugelassen. 
— Bit 1 = 0: Dieser Schiassel ist nicht zur Chiffrierung 
des Importexemplars des im Op-Imp-Modus (Lokal- Import- 
Modus) generierten SchlQssels zugelassen* 

R1HK - Dieses Feld belegt ein Bit, 

RTMK = 1: Mit diesem Schiassel darfen Schiassel mittels der 
Anweisung RTMK empfangen werden* 

RTMK = 0: Mit diesem Schiassel darfen Schiassel nicht mit- 
tels der AnweisLing RTMK empfangen werden. 

XLTKEY in 

XLTKEY in = 1: Dieser Schiassel kann zum Chiffrieren des 
Eingabeschiassels far die Anweisung "Schiassel limwandeln'* 
verwendet werden. 

XLTKEY in = 0: Dieser Schiassel darf nicht zum Chiffrieren 
des Eingabeschiassels far die Anweisung "Schiassel umwan- 
deln" verwendet werden. 

Schiasselform - In diesem zwei Bit langen Feld wird ange- 
geben, ob es sich xam einen kurzen Schiassel (einfache LSn- 
ge) Oder um einen langen Schiassel (doppelte LMnge) han- 
delt, und, falls der KEK ein langer Schiassel ist, ob es 
sich um die rechte Oder um die linke SchiasselhSlfte han- 
delt. 

Verbindungssteuezrung - Wie bei KEK Sender. 

AV (Anti-Variante) - Wie bei Vertraulichkeitsschiasseln. 
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# Software-Bits - Dieses Feld belegt 12 Bit. 

# CV-Version - Wie bei Vertraulichkeltsschiasseln. 

# Durch Software erzwungene Verwendung - Siehe auch Abschnitt 
uber das CFAP. 

CVKRKD (Steuervektor KEK Empf finger - Datenschlussel eiapfan- 
gen) 

CVKRKP (Steuervektor KEK Empf finger - PIN-Schllissel empfan- 
gen) 

CVKRKK (Steuervektor KEK Empf finger - KEK empfangen) 

# Lfinge - Wie bei Vertraulichkeitsschlusseln. 

# Reservierte Bits - Wie bei Vertraulichkeitsschliisseln- 

# Paritatsbit - wie bei Vertraulichkeitsschlttsseln. 
Steuervektorformat fur ANSI KEK 

Das Format der Steuervektoren ftir ANSI KEK ist in Fig. 21 dar- 
gestellt. Im folgenden werden die Felder und Teilf elder dieser 
Tabelle ausfOhrlich erlfiutert. 

# CV-Art - (Hauptart = "SchlGsselchif f rierschlussel (KEK)", 
Unterart = "ANSI"). 

# Exportkontrolle - Wie bei Vertraulichkeitsschlusseln. 

# Verwendung 

# ARFMK - Gibt an, ob der SchlGssel in der Anweisung" ARFMK 
als SchlQsselchif f rierschlUssel zum Versenden von 
Schltlsseln an andere Knoten verwendet werden kann. 



MA9-88-011 



76 

# ARTHK - Gibi: an, ob der Schldssel in der Anweisung ARTMK 
als SchlQsselchif frierschlQssel zum Empfangen von 
Schiasseln von anderen Knoten verwendet werden kann. 

# AXLTKEY - Gibt an, Ob der Schltissel in der Anweisung 
AXLTKEY als Schliisselchif f rierschliissel zur Umwandlxing von 
Schiasseln benutzt werden kann. Beim ANSI KEK-Steuervektor 
wird nicht zwischen Eingabe- und Ausgabe-Umwandlungsschlus- 
seln unterschieden, da diese Steuervektoren bidirektional 
ist:. 

# APNOTR - Gibt an, ob mit diesem Schltissel Trans format ionen 
zur Erzeugung eines teilweise beglaubigten Schltissels, mit 
dem andere Schlussel beglaubigt werden konnen, moglich ist. 
Nach AbschluB der Transformation muB beim erzeugten teil- 
weise beglaubigten Schlussel KKPN dieses APNOTR-Bit auf 
Null zurUckgesetzt sein, damit KKPN nicht als Eingabe tilr 
die Anweisung APNOTR benutzt werden kann, urn einen anderen 
teilweise beglaubigten Schlfissel zu berechnen. 

# Schlusselform - wie bei KEK Sender. 

# Verbindungssteuerung - Dieses Feld entfSllt bei ANSI KEK. 
Siehe auch KEK Sender. 

# AV (Anti-variante) - wie bei Vertraulichkeitsschiasseln. 

# Software-Bits - Dieses Feld belegt 12 Bit. 

# CV-Version - Wie bei Vertraulichkeitsschiasseln. 

# Durch Software erzwungene Verwendung - Keine. 

# Lange - wie bei Vertraulichkeitsschiasseln. 

# Reservierte Bits - Wie bei Vertraulichkeitsschiasseln. 
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# Paritatsbit - Wie bei Vertraulichkeitsschlusseln, 
Stey^rv^Ktorformat fQr SnhlOssi^i^^i i.. 

Das Format der Steuervektoren fUr Schiasselteile ist in Fig. 22 
dargestellt. Iro folgenden werden die Felder und Teilf elder die- 
ser Tabelle ausfahrlich erlautert* 

# CV-Airt - CV-Art, wobei die drei letzten Bits xxx des Peldes 
den Wert Null haben, aber von den Anweisiingen gepraft wer- 
den. (Hauptart = "Schiasselteil" , Unterart entf ailt) . 

# Exportkontrolle - wie bei Vertraulichkeitsschiasseln. 

# Schlttsselfonn - Wie bei KEK Sender. 

# AV (Anti-Variante) - wie bei VertraulichkeitsschlQsseln. 

# Software-Bits - Dieses Feld belegt 12 Bit. 

# CV-Version - wie bei Vertraulichkeitsschiasselni 

# Durch Software erzwungene Verwendiing - Keine. 

# LSnge - Wie bei Vertraulichkeitsschlttsseln. 

# Reservierte Bits - Wie bei Vertraulichkeitsschlusseln. 

# Paritatsbit - wie bei Vertraulichkeitsschlttsseln. 
g^QU^rvektorfonnat far Zwischen-Tcv 

Das Format der Steuervektoren fur Zwischen-ICV ist in Fig. 23 
dargestellt. im folgenden werden die Felder und Teilf elder die- 
ser Tabelle ausfOhrlich erlSutert. 
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# CV-Art - CV-Art, wobei die drei letzten Bits xxx des Feldes 
den Wert: Null haben, aber von den Anweisungen geprUft wer- 
den. (Hauptart = "Zwischen-ICV", Unterart entfSllt) . 

# Exportikonlurolle - Wie bei Vertraulichkeitsschiasseln • Die 
ICV-Schiassel werden normalerweise nicht an andere Knoten 
exportiert^ auBer bei einer Schnellsicherung. In diesem 
Feld steht deshalb bei ICV-Steuervektoren in der Kegel der 
Wert B'OO', 

# AV (Anti-Varlante) - Wie bei Vertraulichkeitsschiasseln, 

# Software-Bits 

# CV-Version - Wie bei Vertraulichkeitsschiasseln. 

# Durch Software erzwungene Verwendung - Keine« 

# IiSnge - Wie bei Vertraulichkeitsschiasseln. 

# Reservierte Bits - Wie bei Vertraulichkeitsschiasseln. 

# Paritatsbit - Wie bei Vertraulichkeitsschiasseln. 
Steuervektorf ormat f ar Tokens 

Das Format der Steuervektoren fOr Tokens ist in Fig. 24 darge- 
stent. Xm folgenden werden die Felder und Teilfelder dieser 
Tabelle ausfahrlich erlSutert. 

# CV-Art - CV-Art^ wobei die drei letzten Bits xxx des Feldes 
den Wert Null haben, aber von den Anweisungen gepraft wer- 
den. (Hauptart = "Token", Unterart entf ailt) . Tokens sind 
geheime Zeichenketten zum Schutz der Integrit^t deV in der 
Datenschiasseldatei (DKDS) gespeicherten Datenschiassel • 
Datenschiassel werden in der DKDS in der Form 
Token+e*(KM.Cl(K),e*KM.C2(Token) gespeichert. Die Steuer- 
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vektorart ftir Tokens ist in verschiedenen Anweistuigen zu- 
l^ssig, in den Anweisungen EMK, RTNMK und RTCMK. 

# Exportsteuerung - Wie bei Vertraulichkei^sschlflsseln. Die 
ICV-Schlfissel werden normalerweise nicht an andere Knoten 
exportiert, auBer bei einer Schnellsicheriing. In diesem 
Feld steht deshalb bei ICV-steuervektoren in der Regel der 
Wert B'OO'. 

# AV (Anti-Variante) - Wie bei Vertraulichkeitsschiasseln. 

# Software-Bits 

# CV-Version - Wie bei Vertraulichkeitsschiasseln • 

# Durch Software erzwungene Verwendung - Keine, 

# LSnge - Wie bei Vertraulichkeitsschltisseln* 

# Reservierte Bits - Wie bei Vertraulichkeitsschiasseln. 

# Paritatsbit - Wie bei Vertraulichkeitsschiasseln. 
Anweisunassatz 

Der hier beschriebene Anweisungssatz ist ein in der CF implement 
tierter Satz geneinsaiaer Chif frierfunktionen. Dabei sind Ausnah- 
men moglich; MDC kann beispielsweise auf der Ebene des CFAP iiQ- 
plementiert sein. Andere abweichende Implement ierungen des An- 
weisungssatz es sollten nur nach sorgfaitiger AbwSLgung der Si- 
cherheitsanforderungen und der Produktiuagebung realisiert wer- 
den. 

Der Anweisungssatz basiert auf den Steuervektoren . Diese enthal- 
ten mehrere Felder^ die in einem bestimraten System implementiert 
sein k5nnen, aber nicht mussen. Das hier beschriebene MindestmaB 
der Steuervektorprafung muB jedoch in jedem System in der CF 
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durchgefiihrt werden. Wenn die gesamte kryptographische Trennung 
nlcht erforderllch ist oder wenn ein Teil des Anwendungssat:zes 
fttr eine bestlnmite Anwendung ausrelcht, kann die Slieuervektior- 
priifung tHr die nicht iinplementiert:en Funktionen ausgeschlossen 
werden. (Die Prttfung des Unt:erart:-Feldes des St:euervektors , ei- 
nes codierten Feldes, gewahrleistet, daB Steuervektoren nicht 
durch ungultige Kombinationen in den Chif f rieranweisungen mit- 
einander vermischt: oder aneinander angeglichen werden k5nnen« 
Diese Prtkfung ist entscheidend far die Sicherheit. ) 

Die Anweisungssatzgleichungen geben die ftir die Funktion erf or- 
der lichen Eingabedaten und die von der Funktion zu erwartenden 
Ausgabedaten fOr eine beschriebene Chif f rierfunktion an, Anstatt 
tatsachliche Daten an die Funktion zu Qbergeben, kann die Imple- 
laentierung die Adressen der Daten an die Funktion Qbergeben. 
Diese Adressierung hangt von der jeweiligen Systemimplementie- 
rung ab und ist nicht Gegenstand dieser Beschreibung. 

In den Gleichungen sind alle Parameter und Daten angegeben, die 
zur Ausfahrung einer Funktion benotigt werden. Je nach Arbeits- 
modus werden in der Funktion alle oder nur einige Parcuneter ver- 
wendet. Die Felder in der Gleichung sind als Eingabe und Ausgabe 
zu verstehen, nicht als die tatsfichlichen Werte der Ein- bzw. 
Ausgabedaten der Funktion in einer bestimmten Implementierung. 
Das Feld "A" in der Gleichung beispielsweise bezeichnet die Da- 
ten, die an die Funktion tibergeben werden; die physische Form 
davon kann z.B. eine 32-Bit-Adresse sein, die auf die Daten ver- 
weist, welche von der Anweisung aus dem Speicher ausgelesen oder 
in den Speicher geschrieben werden sollen. Die Datenbusbreite 
vom Speicher hSngt ebenfalls von der speziellen Implementierung 
ab, wohingegen die durch die Chif f rierfunktion zu chif frierenden 
Oder zu dechif frierenden Eingabedaten immer ein Vielfaches von 8 
Byte umfassen. 
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FOr die Steuervektorpriif ung gibt es zwei grundsStzliche Moglich- 
kei1:en : 



1. Bits im Steuervektor pyflfen; Es wird geprtift, ob die 
Steuervektorbits so gesetzt slnd, wie sie gesetzt sein mCis- 
sen. Bei Abweichiingen wird ein Bedingungscode gesetiz't und 
die Opera-bion abgebrochen* Angenoimen , in der Anweisving 
"Chiffrieren" wird das "E"-Bit des Steuervektors auf den 
Wert "1" geprQft. wird f estgestellt , daB dieses Bit nicht 
gleich "l" ist^ wird die Operation abgebrochen, Bei kompli- 
zierteren Anweisungen ist diese PrUfung nicht so trivial, 
und es m^ssen Parameter iibergeben werden, durch die der 
Umfang von Eingabe- und Ausgabeoperationen und die Verwen- 
dung des Steuervektors angegeben werden. In der Anweisung 
"Schlusselsatz generieren" (GKS) beispielsweise wird fur 
die Anweisxing ein "Modus" angegeben, ura eine bestiiomte Form 
von Ausgabedaten zu erzeugen, und die Steuervektorprtifung 
muB entsprechend der Modussuigabe erfolgen. 

2. Bits im Steuerv ektor setzen: Bei diesem Verfahren wird ein 
Bit im Steuervektor der Operation entsprechend gesetzt und 
dann die Operation ausgefuhrt. Dabei mussen die Steuervek- 
toren nicht gepriift werden. So kann z.B. in der Anweisung 
"Chiffrieren" das "E"-Bit im Steuervektor gesetzt werden, 
und daraufhin wird die Operation ausgefCkhrt. In diesem Fall 
muB aber jede Anweisung wissen, welche Bits unter welchen 
Bedingungen gesetzt werden mOssen. Diese Strategie funktio- 
niert nicht in jedem Fall. Wie sollte die Anweisung 
beispielsweise wissen, wie das Bit fixr "Zielkontrolle" ge- 
setzt werden muB? Dies bedeutet, daB der Anweisung ein Pa- 
rameter tibergeben werden muB, der der Anweisung mitteilt, 
daB sie einen bestimmten Bitwert im Steueirvektor auswShlen 
soli. Dadurch verliert das Steuervektorkonzept seine Flexi- 
bilitat vollkommen. 



Beide genannten Verfahren erfiillen die Anforderungen der Steu- 
ervektorprtifung. Wird haben uns aus folgenden Griinden f€Lr das 
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Verfahren "Bits im Steuervektor priifen" entschieden (es warden 
keine Steuervektorbits von der Anwelsiing gesetzl:) : 

1. Die Anweisung muB nicht wissen, welche Bits wann gesetzt 
werden mUssen. 

2« Es ist eine sehr flexible Losung, einen Parameter wie z.B. 
"Modus" zu Obergeben xmd alle mdglichen Ausgabedatenkombi- 
nationen zu erhalten, xind eine Kombination von Eingabedaten 
an die Anweisung zu tibergeben. 

3. Wenn die Bitwerte fest in der CF codiert sind, ist es sehr 
schwierig, die Architektur zu erweitem. AuBerdeia kann man 
kauxa alle moglichen Koinbinationen im voraus wissen. 

4. Die Hardwareimplementierung ist einfacher, und es besteht 
eine groBere Flexibilitat fiXr die Software. 

5. Die den Steuervektoren zugrundeliegende Absicht wird be- 
wahrt: Steuervektoren werden (derzeit) fur die kryptogra- 
phische Trennung und speziell fOr Sicherheitszwecke einge- 
setzt. sie werden in der CA nicht zur "Angabe einer Opera- 
tion Oder Fxinktion fur eine Anweisung" verwendet. Mit ande- 
ren Worten, Steuervektoren sind kein "erweiterter Opera- 
tionscode" far die Anweisung. 

Codleren (msci\ 

Gleichung: KD, A — eKD(A) 

Eingabe: KD 64-Bit-Schltlssel im Klairtext 

A 64 Bit Klartext 

Ausgabe: eKD(A) 64 Bit chiffrierte Daten 

Beschreibung: Die Codierfunktion wird zum Chiffrieren eines 8 
Byte langen Klartext-Datenblocks im ECB-Modus mittels eines 64- 
Bit-Klartextschiassels verwendet* An diese Anweisung wird kein 
Steuervektor tibergeben. 

Fig. 25 ist ein Blockdiagrarom dieser Anweisung. 
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CC: 



- 1. erfolgreiche Opera'tion 

- 2, fehlgeschlagene Operation (Fehler) 

HINWEIS; Eine fehlgeschlagene Operation kann irgendein ftir die 
betreffende Implementierung spezifischer Hardwaref ehler sein. 
Die Bedingungscodes (hier mit CC bezeichnet) sind nur ein Vor- 
schlag; in einem System kdnnen auch mehr Bedingungscodes imple- 
laentiert sein. Die hier angegebenen CC-Codes sind femer nicht 
die tatsSchlichen Bedingungscodes, die in einer bestimmten Im- 
plementierung von der Funktion Obergeben werden miissen. Die Nu- 
xnerierung dient zur Qbersichtlicheren Beschreibung der Chif f- 
rierarchitektur . 

# Steuervektorprdfung: - Keine. 
Decodieren fPRG) 
Gleichung: KD, eKD(A) — A 

Eingabedaten: KD 64-Bit-Schltissel im Klartext 



Beschreibung: Die Decodierfunktion wird zum Chiffrieren eines 8 
Byte langen Klartext-Datenblocks im ECB-Modus mittels eines 64- 
Sit-Klartextschltissels verwendet. An diese Anweisung wird kein 
Steuervektor ubergeben. 

Fig. 26 ist ein Blockdiagrama dieser Anweisung. 



eKD(A) 



64 Bit chiffrierte Daten 
64 Bit chiffrierte Daten 



Ausgabedaten : 



A 



# 



CC: 



2. 



1. 



erfolgreiche Operation 
fehlgeschlagene Operation (Fehler) 
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# Steuervektorprufxing: - Keine. 
Chlffrieren (enct^ 

Gleichung: e*KM.Cl(KDl) , ICV, A, Cl eKDl(ICV,A) 

Eingabe: e*KM.Cl(KDl) 64-Bit-Datenschiassel (KDl), drei- 

fach chiffriert unter dem Haupt- 
schiassel (KM) in Verbindung mit 
einem Steuervektor Cl. 
ICV 64 Bit chiffrierte Daten 

HINWEIS: Chiffrierte icvs werden vom CFAP verwaltet wie in den 
Abschnitten Ober die ICV/OCV-Verwaltung und uber die Software- 
Schni-tts-telle beschrieben. Wenn ein Ausgabekettungswert (OCV) 
benatigt wird^ miissen die letzten 8 Byte der Ausgabe (En) als 
OCV verwendet werden. Dies ist jedoch kein Standardver f ahren . 
Die Chiffrierung und Dechif frierung des letzten Blocks wird bei 
den einzelnen Systemimplementierungen unterschiedlich gehand- 
habt. Die Handhabung des letzten Blocks und die Verf ahren zur 
OCV-Generierung werden im Abschnitt "Software-Schnittstelle" 
ausfOhrlich beschrieben. Das CFAP verarbeitet jede m5gliche 
Chiffrierung bzw. Dechif frierung des letzten Blocks und auch die 
OCV-Verwal tung . 

A Zu chiff rierende Daten in Vielfachen von 8- 

Byte-B16cken 

Die 8-Byte-B15cke werden mit Al^ A2,...An bezeichnet. Ist der 
letzte Block An kein Vielf aches von 8 Byte^ muB dieser Block 
durch das CFAP aufgefttllt werden, bevor diese Anweisung aufge- 
rufen wird. CF-Anweisungen gehen imner davon aus, daB die LSnge 
der Ein- und Ausgabedaten ein Vielf aches von 8 Byte betragt. 

n Anzahl der zu chif frierenden 8-Byte-B16cke. 
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n sollte rndglichst groB sein; die genaue Anzahl ist aber vom 
System abhSngig. Die CA setzt keine Obergrenze fur n. Beispiel: 
Wenn die Anzahl der 8-Byte-Blocke = 10,000 und n max = 4,000 
ist, wird die Chif frieranweisiing folgendermaBen aufgerufen: 

n = 4000 chiffrieren 
~ n - 4000 chiffrieren 
n = 2000 chiffrieren 

HINWEIS: Nach jedem Aufruf der Chif frierfunktion mttssen die 
letzten 8 Byte der chiffrierten Daten En(OCV) als ICV-Eingabe an 
den nachsten Chif f rierf unktionsauf ruf Obergeben werden. 

d 64-Bit-Steuervektor far Datenschltissel 

(KDl) . 

Ausgabe: ekDl(lCV,A) chiffrierte Daten, n Bldcke von 

jeweils 8 Byte Lange (El, 
E2. • .En) • 

Beschreibung: Die Eingabedaten sind uber den CBC-Modus der DEA- 
Chiffrierung verschlusselt . Durch diese Anweisung werden Vielfa- 
Che von 8-Byte-B16cken chiffriert, bis alle n Biacke chiffriert 
sind. 

Die Architektur definiert nxir unchif frierte ICV-Eingaben an die 
Funktion. Wenn ein chiffrierter ICV benotigt wird, kann er mit 
der Chiffrieranweisung unter einem Datenschlttssel (KD2) chiff- 
riert werden. Chiffrierte icvs kdnnen mit der Dechiff- 
rieranweisung entschlUsselt werden. Alle chiffrierten ICVs und 
OCVs werden vom CFAP-Programm verwaltet. 

Ist der letzte Block An kein Vielf aches von 8 Byte, mu6 dieser 
Block durch das CFAP aufgefUllt werden, bevor die Chiffrieran- 
weisung aufgerufen wird. 

Fig. 27 ist ein Blockdiagramm dieser Anweisung. 
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# CC: 

- 1. erfolgrelciie Operation 

- 2. CI ist imgaitig 

3. fehlgeschlagene Operation (Fehler) 

# Steuervektorprttfung: 

- 1. Prdfung von CI 

CV-Art 



E-Bit 

reserviert 
(48:63) 

HINWEIS: Bei alien hier beschriebenen Anweisungen ixnpliziert die 
Steuervektorprufung, daB bei nichtbestandener Prtifung die Anwei- 
sung abgebrochen tind der entsprechende Bedingungscode (CC) fur 
einen ungultigen Steuervektor gesetzt wird. Wenn der Steuervek- 
tor einer oder mehreren Prtifungen unterzogen werden muB, werden 
alle Prufungen durchgef Ohrt, und alle mfissen bestanden werden, 
damit die Operation durchgeftUxrt wird. Wenn nur eine einzige 
Prttfiing negativ ausfallt, muB die Operation abgebrochen werden. 

Dechiffriey en (nKCT\ 

Gleichxing: e*KM.Cl(KDl), ICV, eKDl(ICV,A), n CI — A 
Eingabe: e*KM.Cl(KDl) 64-Bit-DatenschlQssel (KDl), drei- 

fach chif friert unter dem Haupt- 
schiassel (KM) in Verbindung mit 
einem Steuervektor CI. 
ICV 64 Bit langer unchif f rierter Ein- 

gabekettungswert 



"Daten/Kompatibilitat" oder 
"Daten/Vertraulichkeit" oder 
"Daten/ANSI" 
1 

X'O' 
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HINWEIS: Chiffrierte icvs warden vom CFAP verwaltet wie in den 
Abschnitten "ICV/OCV-Verwaltung" imd "Software-Schnittstelle" 
beschrieben, Wenn ein Ausgabekettzungswert (OCV) beno^igt wird^ 
mtissen die letzten 8 Byte der Ausgabe (En) als OCV verwendet 
werden. Dies ist jedoch kein Standardver f ahren . Die Chiffrierung 
und Dechiffrierung des letzten Blocks wird bei den einzelnen 
Systexninplementiertingen unterschiedlich gehandhabt* Die Handha- 
bung des letzten Blocks und die Verf ahren zur OCV-Generierung 
werden im Abschnitt "Software-Schnittstelle" ausfOhrlich be- 
schrieben. Das CFAP verarbeitet jede mdgliche Chiffrierung bzw. 
Dechiffrierung des letzten Blocks und auch die OCV-Verwaltung. 



n sollte moglichst groB sein; die genaue Anzahl ist aber vom 
System abhangig. Die CA setzt keine Obergrenze far n. 

HINWEIS: Nach jedem Aufruf der Dechif f rierf unktion mCLssen die 
letzten 8 Byte der chiffrierten Daten En (OCV) als ICV-Eingabe an 
den nachsten Dechif f rierf unktionsaufruf {ibergeben werden. Dies 
wird von CFAP erledigt. Beispiel: Wenn die Anzahl der 8-Byte- 
B16cke = 10,000 und n max = 4,000 ist, wird die Dechif f- 
rieranweisung f olgendermaBen aufgerufen: 



eKdl(lcv,A) 



chiffrierte Daten, n Blocke mit einer 
LSnge von jeweils 8 Byte (El, E2...En) 
Anzahl der zu chif frierenden 8-Byte- 
B16cke. 



n 



n = 4000 dechif frieren 
n = 4000 dechif frieren 
n 2000 dechiffrieren 



CI 



64-Bit-Steuervektor fur Datenschliissel 
(KDl). 



Ausgabe : A 



Daten im Klartext in Vielfachen von 8- 
Byte-Bldcken. Die 8-Byte-Biacke werden 
mit Al, A2,...An bezeichnet. 
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Beschrelbung: Die Eingabedaten sind uber den CBC-Modus der DEA- 
Chiffrierung verschltisselt • Durch dlese Anweisung werden Vielfa- 
che von S-Byte-BlOcken chiffriert, bis alle n Blocke chiffriert 
sind. 

Die Architektur definiert nur unchif f rierte ICV-Eingaben an die 
Funktion. Wenn ein chif frierter ICV benotigt wird, kann er mit 
der Chiffrieranweisiong unter einem Datenschiassel (KD2) chiff- 
riert werden* Chif f rierte ICVs k6nnen mit der Dechiff- 
rieranweisung entschlfisselt werden. Alle chiffrierten ICVs und 
OCVs werden vom CFAP-Programm verwaltet. 

Fig. 28 ist ein Blockdiagranua dieser Anweisung. 

# CC: 

- 1. erfolgreiche Operation 
2. CI ist ungultig 

- 3. fehlgeschlagene Operation (Fehler) 

# Steuervektorprafung: 

- 1. Prdfung von Cl 

CV-Art 



D-Bit 
— reserviert 
(48:63) 

MAC generieren (gkac\ 

# Gleichimg: e*KM-Cl(KD2 = 1) , [e*KM.C2(KD2) ] ^ 

ICV[e*KM.C3(OCV)], A, n^ ICV-Art ^Ausgabeart ^ 
mac-enc, C1,[C2],[C3] MAC (64 Bit) 



"Daten/Kompatibilitat" oder 
"Daten/Vertraulichkeit" oder 
"Daten/ANSI" 
1 

X'O' 
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Oder 
e*KM.C3(OCV) 

Elngabe: e*KM.Cl(K01) KDl ist ein KAC-Generlerungs- 

schlussel fttr einfach chiffrieren- 
de MACS, dreifach chiffriert unter 
KM in Verbindung mit einem Steu- 
ervektor CI. 

e*KM.C2(KD2) KD2 ist ein optionaler MAC-6ene- 
rierungsschlussel fur dreifach 
chiffrierende WiCs, dreifach chif- 
friert unter KM in Verbindung mit 
einem Steuervektor C2. Diese Ein- 
gabe ist nicht obligatorisch* Sie 
wird fiir eine dreifach chiffrie- 
rende MAC-Ausgabe bendtigt, wenn 
mac-enc = 1 ist. 

ICV icv = 0 ist der Standardicv-Wert 

fur die CA-Architektur , ANSI X9.9 
und ANSI X9,19. Von Null verschie- 
dene unchif f rierte ICVs konnen 
ebenfalls verwendet werden, urn die 
Kompatibilitat xnit Systemen zu 
wahren, die eine unchif f rierte 
ICV-Eingabe bendtigen. Eine chif- 
frierte ICV-Eingabe wird von der 
CA nicht unterstutzt, da as sich 
erwiesen hat, daB dadurch die Si- 
cherheit far die Funktion nicht 
erh5ht wird. Chiff rierte Zwischen- 
ICVs werden von der CA unter- 
stdtzt. 

HINWEIS: Chiff rierte ICVs werden bei Bedarf durch das CFAP ver- 
waltet wie in den Abschnitten "ICV/Verwaltung" und "Software- 
Schnittstelle" beschrieben. 

MA9-88-011 



90 



e*KM.C3(ocv) Dies ist ein 64 Bit langer Zwi- 
schen-ICV, der unter dem Haupt- 
schltzssel in Verbindung mit einem 
speziellen Steuervektor C3 chif- 
friert ist. Diese Eingabe ist nur 
erforderlich, wenn zur MAC-Gene-- 
rierung groBe Datenblocke verwen- 
det werden (/n). Die Dechiff rie- 
rung des ICV erfolgt funktionsin- 
tem. Zwischen-OCV kdnnen nicht 
vom lokalen Knoten versendet wer- 
den, da sie unter dem HauptschlUs- 
sel in Verbindung mit einem Steu- 
ervektor in einer Form gespeichert 
sind, die nur fUr die lokale Ver- 
wendung bestimmt ist. 

V Daten fQr die MAC-Operation in 

Vielfachen von 8-Byte-Bldcken (Al, 
A2 • « .An) . 

i Anzahl der 8-Byte-B15cke far die 

KAC-Operation . 



n sollte m5glichst groB sein; die genaue Anzahl ist aber vom 
System abhangig. Die CA setzt keine Obergrenze fdr n. Bei MAC- 
Operationen mit vielen Datenbldcken wird GMAC mehrmals aufgeru- 
fen, bis alle Blocke verarbeitet sind. Beispiel: Angenommen, n 
max far das System betragt 4000 und die Daten far die MAC-Opera- 
tion umfassen 10,000 Bldcke von jeweils 8 Byte Lange, so wird 
6HAC folgendermaBen aufgerufen: 

— GMAC n = 4000,Ausgabeart = l,ICV-Art = 0 

— GMAC n = 4000,Ausgabea^t = 1, ICV- Art = 2 

— GMAC n = 2000,Ausgabeart = l,ICV-Art =2 

HINWEIS: Nach jedem Aufruf von GMAC muB der Zwischen-ICV 
e*KM.C3(OCV) dem nSchsten GMAC-Aufruf als ICV-Eingabe Obergeben 
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werden. Die Dechif frierung dieses Zwischen-ICV muB in der CF 
intern erfolgen. 



Art Die ICV-Art gibt an, ob der an die 

Funktion Ubergebene ICV ein Null-icv, 
ein Klartext-icv Oder ein Zwischen-icv 
ist. 



Zwischen-ICVs sind unter dem HauptschlQssel in Verbindung mit 
einem Steuervektor C3 dreifach chiffriert. StandardmSBig ist 
"Null-icv" vorgegeben. 



0: Null-icv 

1: Klartext-icv 

2: Zwischen-icv (OCV) 



Ausgabeart Dieser Parameter teilt der Anwei- 
sung das Stadium des MAC-Generie- 
rungsprozesses mit. 

0 : MAC-Ausgabe 

1: Zwischen-ICV-Ausgabe (OCV) 



mac-enc gibt an, ob es sich um 
eine einfach chiffrierte oder um 
eine dreifach chif frierende MAC- 
Ausgabe handelt* 



einfach chif frierende HAC-Ausgabe 

dreifach chif frierende KAC-Ausgabe (nach ANSI 

9.19 erforderlich) 



CI ,C2 , C3 64-Bit-Steuervektoren^ f Or 

KDl, KD2 und OCV. C2 und C3 
sind nicht obligatorisch far 
die Anweisung. C2 muB angege- 
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ben werden, wenn mac-enc = i 
ist; C3 muB fiir ICV-Art = 2 
Oder fttr Ausgedseart: = l ange- 
geben werden. 

- Ausgabe : 

MAC 64-Bit-Ausgabe als Ergebnis 

einfacher oder dreifacher 
Chif frierxing des letzten Ein- 
gabedatenblocks , je nachdem, 
was unter dam Parajaeter mac* 
enc angegeben wurde. Diese 
Ausgabe ist nur fiir AusgaOse-* 
art = 0 gultig. 

e*KM.C3(ocv) OCV ist ein 64 Bit langer 

Zwischen-ICV, der unter KM in 
Verbindung mit dem Steuervek- 
tor C3 dreifach chiffriert 
ist. 

Diese Ausgabe ist nur fOr Ausgabeart = 0 giiltig. MAC-Ausgabe und 
Zwischen*OCV-Ausgaben dUrfen aus SicherheitsgrUnden nicht 
gleichzeitig ausgegeben werden. 

Beschreibung: Die Eingabedaten sind Ober den CBC-Modus der DEA- 
Chiffrierung verschiasselt und der letzte Block der chif frierten 
Daten wird ausgegeben. Es gibt zwei Modi, namlich die einfache 
Chiffrierung und die dreifache Chif f rierung. Bei der einfachen 
Chiffrierung wird zur MAC-Erstellung ein einziger Schldssel KDl 
ver^^endet. Bei der dreifachen Chiffrierung erfolgt zuerst eine 
einfache Chiffrierung mit KDl zur MAC-Erstellung, dann wird der 
MAC mit KD2 dechiffriert und anschlieBend wieder mit KDl chif- 
friert, um den endgUltigen 64-Bit-MAC zu erzeugen. 

Die Anweisung erzeugt eine 64 Bit lange MAC-Ausgabe. X9.9 ver- 
wendet allerdings eine 32 Bit lange MAC-Ausgabe, die aus der 
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linken HSlfte der 64 Bit langen MAC-Ausgabe besteht. Das CFAP 
muB die entsprechenden MAC-Bits aus der 64 Bit langen MAC-Aus- 
gabe abtrennen. 

ICV ist standardmaBig Null und kann wahlweise als Klartext- Oder 
Zwischen-ICV an die Anweisung GMAC tibergeben werden. Wenn chif- 
frierte ICVs erf orderlich sind, muB das CFAP die ICVs unter 
(KDS) chiffrieren und einen Klartext-ICV an die Anweisung GMAC 
ilbergeben. Der MAC-Standard nach dem ANSI X9 . 9-Protokoll sieht 
einen Null-ICV fdr den ersten Block vor und ist deshalb hier als 
Standardeingabe definiert. Die Architektur ermaglicht aber auch 
Klartext- und Zwischen-ICV-Eingaben^ um alien mdglichen Bedttrf- 
nissen bei der MAC-Generierung Rechnung zu tragen. 

Ist eine MAC-Generierung fiir Bldcke erf orderlich, die groBer als 
n sind, muB zur MAC-Generierung die Zwischen-ICV-Option verwen- 
det werden. Dies bietet zusatzliche Sicherheit, da Zwischen-ICVs 
nicht unchiffriert vorliegen. 

Ist der Datenblock kein Vielf aches von 8 Byte, muB er auf das 
nSchste Vielfache von 8 Byte aufgeflillt werden. Diese AuffUllung 
muB vor dem Funktionsaufruf vom CFAP durchgefiihrt werden. Die 
MAC-Berechnung muB far BinSrdaten gemSB ANSI X9. 9-1986 Abschnitt 
5.0 erfolgen, und eine eventuell notwendige Identif ikationsQber- 
prUfting muB vom CFAP implementiert werden. 

Fig. 29 ist ein Blockdiagramia dieser Anweisung. 

# CC: 

- !• erfolgreiche Operation 

- 2. CI ist ungultig 

- 3. C2 Oder C3 ist ungtiltig 

- 4. fehlgeschlagene Operation (Fehler) 

# Steuervektorpriifung: 
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1. Prafung von CI 



CV-Art 



MG-Verwendungsbit 

reserviert 

(48:63) 



"Daten/Kompatibilitat" , 
"Daten/MAC" oder "Da- 
ten/ANSI" 
1 

X'O' 



Prttfung von C2 



CV-Art 



MG-Verwendungsbit 

reserviert 

(48:63) 



"Daten/Kompatibilitat" , 
"Daten/MAC" oder "Da- 
ten/ANSI" 
1 

X'O' 



3. Prafung von C3, falls (iCV-Art = 2 ODER Ausgabeart 
1). 



CV-Art 



Zwischen-ICV" 



KAC-OberprQfuna rVMAG^ 



Gleichung: 



Elngabe ; 



e*KM.Cl(KDl) , [e*KM.C2(KD2) ] , 
ICV[e*KM.C3(OCV) ] ,A,MAC,n, ICV-Art, 
Ausgabeart , nac-enc , mac-len , CI , [ C2 ] , [ C3 ] 

ja/nein 

Oder 

e*KM.C3(OCV) 
e*KM.Cl(KDl) KDl ist ein MAC-PrUf schldssel 
far einfach chif frieVende 
MACS, dreifach chiffriert 
vinter KM in Verbindung mit 
eineiQ Steuervektor CI, 
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e*KM.C2{KD2) 



KD2 ist ein optionaler MAC- 
Priif schliissel fur dreifach 
chlf frierende MACS, dreifach 
chiffriert unter KM in Ver- 
bindxing mit, einem S-teuervek- 
"tor C2. 



Diese Eingabe ist nicht obligatorisch. Sie wird far eine drei- 
fach chif frierende MAC-Ausgabe benotigt, wenn mac-enc = 1 ist. 



Von Null verschiedene unchif f rierte ICVs konnen ebenfalls ver- 
wendet werden, tun die KompatibilitSt mit Systemen zu wahren, die 
eine unchif f rierte ICV-Eingabe bendtigen. Eine chif f rierte ICV- 
Eingabe wird von der CA nicht unterstQtzt, da es sich erwiesen 
hat, daB dadurch die Sicherheit far die Funktion nicht erhoht 
wird. Chif f rierte Zwischen-XCVs werden von der CA unterstatzt. 

HINWEIS: Chif f rierte ICVs werden bei Bedarf durch das CFAP ver- 
waltet wie in den Abschnitten "ICV/Verwaltung" und "Software- 
Schnittstelle" beschrieben. 



Diese Eingabe ist nur erforderlich, wenn zur HAC-Oberprafung 
groBe Datenbldcke verwendet werden (] n). Die Dechif frierung des 
ICV erfolgt f unktionsintem . Zwischen-OCV konnen nicht vom loka- 
len Knoten versendet werden, da sie unter dem Hauptschiassel in 
Verbindung mit einem Steuervektor in einer Form gespeichert 



ICV 



ICV = 0 ist der StandardlCV- 
Wert far die CA-Architektur , 
ANSI X9.9 und ANSI X9.19. 



e*KM.C3(OCV) 



Dies ist ein 64 Bit langer 
Zwischen-ICV, der unter dem 
Hauptschiassel in Verbindung 
mit einem speziellen Steuer- 
vektor C3 chiffriert ist. 



MA9-88-011 



96 

sind, die nur ftir die lokale Verwendung bestiimnt ist. Die Zwi- 
schen-ICVs mCissen bei der MAC-t)berpraf ung geheim sein, damit 
kein Angriff auf die Sicherheit moglich ist. 

A Dat:en f iir die MAC-Operation 

in Vielfachen von 8 -Byte- 
Blocken (Al, A2*..An). 

KAC 64 Bit uiafassende MAC-Cingabe 

an die Anweisung, einfach 
Oder dreifach chiffriert. 

StandardmSBig werden nur die letzten 32 Bit dieses MAC fiir den 
MAC-Vergleich herangezogen* Mit mac-len konnen explizit andere 
Langen fur den Vergleich angegeben werden. 

n AnzsOil der 8-Byte-B16cke fur 

die KAC-Operation. 

n sollte m6glichst groB sein; die genaue Anzahl ist aber vom 
System abhangig. Bei der MAC-tJberprtif ung vieler Datenbldcke wird 
VMAC mehrmals aufgerufen, bis alle Blocke verarbeitet sind. Bei- 
spiel: Angenommen, n max ftlr das System betragt 4000 und die zu 
ttberprafenden umfassen 10,000 B15cke von jeweils 8 Byte Lange, 
so wird VHAC folgendermaBen aufgerufen: 

— VMAC n = 4000,Ausgabeart = l,ICV-Art = 0 

— VMAC n = 4000,Ausgabeart = l,ICV-Art = 2 

— VMAC n = 2000,Ausgabeart = O^ICV-Art = 2 

HXNWEIS: Nach jedem Aufruf von VMAC muB der Zwischen-ICV 
e*KM.C3(OCV) dem nachsten VMAC-Aufruf als ICV-Eingabe Obergeben 
werden. Die Dechif frierung dieses Zwischen-ICV muB in der CF 
intern erfolgen. 

ICV-Art Die ICV-Art gibt an, ob der an die 
Funktion fibergebene ICV ein Null- 
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ICV, ein Klartext-ICV Oder ein 
Zwischen-ICV ist. 



Zwischen-ICVs sind untier dem Haupt:schiassel in Verbindung mit 
einem Steuervektor C3 dreifach chiffriert. 

— O: Null-icv (Standardwert) 

— 1: Klartext-ICV 

— 2: Zwischen-ICV (OCV) 

Ausgabeart Dieser Parameter teilt der 
Anwelsung das Stadium des 
MAC-Oberprfifungsprozesses 
mit, 

— 0: MAC-Oberpriif ungsausgabe 

— 1: Zwischen-ICV-Ausgabe (OCV) 

mac-enc mac-enc gibt an, ob es sich 

um eine einfach chiffrierte 
Oder um eine dreifach chiff- 
rierende MAC-Eingabe handelt. 

— 0: einfach chiff rierende HAC-Eingabe 

— 1: dreifach chiff rierende MAC-Eingabe (nach ANSI 

9.19 erforderlich) 

mac-len mac-len gibt an, wieviele 

Bytes des MAC verglichen wer- 
den sollen. 

StandardmSBlg werden die ersten vier Bytes von links verglichen. 

— O: 4 Bytes von links 

— 1: 5 Bytes von links 

— 2: 6 Bytes von links 
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— 3: 7 Bytes von links 

— 4: 8 Bytes 

HINWEIS: Die Mogllchkeit, 4, 5, 6, 7 Oder 8 Byte fUr die MAC- 
Oberprafung auszuwdhlen, kann die MAC-Generlerung fUr 8-Byte- 
MACS stdren. Die Ldsung dieses Problems 1st nlcht Bestandtell 
der vorllegenden Erflndung und wlrd deshalb nlcht welter erlau- 
tert. 

C1,C2,C3 64-Blt**Steuervektoren fUr 

KDl, KD2 und OCV. 

C2 und C3 slnd nlcht obllgatorlsch fUr die Anwelsung. C2 muB 
angegeben werden^ wenn mac-enc = 1 1st; C3 muB far ICV-Art = 2 
Oder fUr Ausgaibeart = 1 angegeben werden. 

Ausgabedaten: ja/neln Glbt an, ob das MAC Oberprlift 

wlrd. 

e*KM.C3(OCV) OCV 1st eln 64 Bit langer 

Zwischen-ICV, der unter KM In 
Verblndung mlt dem Steuervek— 
tor C3 drelfach chlf frlert 
1st. Dlese Angabe kann nur 
f tir Ausgabeart » 1 gemacht 
werden • 

Beschrelbung: Die Eingabedaten werden (iber den CBC-Modus der 
DEA-Chlf frlerung mittels des Datenschiassels KDl verschltisselt, 
und die llnken 32 Bits des letzten chlffrlerten Blocks werden 
auf Oberelnstlmmung mlt dem iibergebenen MAC gepriift. MAC-Ver- 
glelch 1st eln Standardwert, tind andere Verglelche miissen der 
Angabe durch den Parameter mac-len entsprechend durchgefl&hrt 
werden. Bel t}berelnstlmmung der MACs wlrd CC = 1 gesetzt, bel 
NlchtQberelnstlmmung CC = 2. Es glbt zwel Chlf f rlermodl , nSmllch 
die elnfache Chlf f rlerxing und die drelfache Chlf frlerung, Bel 
der elnfachen Chlffrlerung wlrd zur MAC-Erstellung eln elnzlger 
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Schltissel KDl verwendet. Bei der dreifachen Chiffrierung erfolgt 
zuerst eine einfache Chif f rierxing mit KDl zur MAC-Erstellung, 
dann wird das MAC mit KD2 dechif friert und anschlieBend wieder 
mit KDl chif friert, um das endgQltige 64-Bit-MAC zu erzeugen. 
Das MAC wird der mac*enc-Eingabe entsprechend generiert und an- 
schlieBend mit dem der Ftmktion tibergebenen MAC verglichen. 

Der erste ICV ist standardmaBig ein Null-ICV, Optional kann ein 
Klartext-ICV verwendet werden« Wenn die Daten fUr die MAC-Opera- 
tion mehr als n Bldcke umfassen, mttssen Zwischen-ICVs verwendet 
werden* 

Ist der Datenblock kein Vielf aches von 8 Byte, muB er auf das 
nachste vielf ache von 8 Byte aufgefailt werden. Diese Auffttllung 
muB vor dem Funktionsauf ruf vom CFAP durchgefuhrt werden. 
Fig. 30 ist ein Blockdiagramm dieser Anweisung. 

# CC: 

- 1. MACS stiiamen tiberein 

- 2. MACS stimmen nicht uberein 

- 3. CI ist ungaitig 

- 4. C2 Oder C3 ist ungultig 

- 5. fehlgeschlagene Operation (Fehler) 

# Steuervektorprttf ung : 

- 1. Priifung von CI 

"Daten/Kompatibilitat" , 
"Daten/MAC" Oder "Da- 
ten/ANSI" 
1 

X'O' 



cv-Art 

MG-Verwendungsbit 
reserviert 
(48:63) 
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Prdfung von C2 falls (mac-enc =1). 

— CV-Art = "Daten/Korapatibilitat 

"Daten/MAC" oder "Da- 
ten/ANSI" 

— MG-Verwendungsbi't = 1 

— reserviert = X'O' 
(48:63) 

PrUfung von C3, falls (iCV-Art = 2 ODER Ausgabeart: 
1). 



CV-Art 



"Zwischen-ICV" 
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Chiffret iext: umwandeln (TCTXT^ 



Gleichiing: 



Elngabe : 



Ausgabe : 



ICVl 

eKDl(ICVl,A) 



e*KM.Cl(KDl) , ICVl ^ eKDl( ICVl , A) , 
e*KM.C2(KD2) ,ICV2, n, CI, C2 
eKD2(ICV2,A) 

e*KM.Cl(KDl) KDl ist ein Eingabedaten- 
schlussel, dreifach chiff- 
riert unter KM in Verbindung 
mit: einem S'keuervek'tor CI. 
unchiffrierter 64-Bit-ICV, 
KD2 1st: eln Ausgabedaten- 
schliissel, dreifach chiff- 
riert unter KM in Verbindung 
mit eineia Steuervektor C2 . 
unchiffrierter 64-Bit-ICV. 
Anzahl der uzazuwandelnden 8* 
Byte-Datenblocke . 
Steuervektoren fCLr KDl bzw. 
KD2. 

Ausgabe von Daten A, chiff- 
riert mit dem Datfenschltissel 
KD2 unter Verwendung von 
ICV2. 



ICV2 
n 

CI, C2 
eKD2(ICV2,A) 



Beschreibung: Die Anweisung "Chiffretext xmwandeln" chiffriert 
Daten von einem Datenschiassel und ICV unter einen anderen Da- 
tenschiassel und ICV urn, Diese Anweisung kann fiir Schiassel der 
Arten "Daten/XLT" und "Daten/Kompatibilitat" verwendet werden. 
Zur Umwandlung von Daten konnen CV-Schltissel Oder CV«0-SchlQssel 
verwendet werden; die Schiasselarten dtlrfen jedoch nicht ge- 
laischt Oder abgeglichen werden. Die Daten konnen aus bis zu n 8- 
Byte-Bldcken bestehen, und die Umwandlung erfolgt in der Chiff- 
riervorrichtung, so daB die xinchif f rierten Daten nicht auBerhalb 
der Chif friervorrichtung offengelegt werden. 
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Die ICV-Eingaben ICVI und ICV2 diirfen nur unchif f rierte ICV-Ein- 
gaben tHr die Anweisung sein. Zwischen-ICVs werden von der Funk- 
t:ion nicht erzeugt. Hussen laehr als n Datienbldcke umgewandelt: 
und die Da ten verke-ttet: werden, muB das CFAP den let z ten 8 Byte 
langen Chiffredatenblock (En) als Elngabe an ICV Obergeben. Bel 
Verwendung chiffrierter ICVs muB das CFAP die ICVs vor der Ober- 
gabe an die Anweisung zuerst dechif f rieren. 

HINWEIS: Die Anweisung "Chif f retext umwandeln" wurde speziell 
fQr Schiassel mit dem Attribut "nur CV" (d.h. Datenumwand- 
lungsschltkssel ) entwickelt. Ein KompatibilitStsmodus existiert 
nicht. Um dieses Problem zu uiagehen, akzeptiert "Chif f retext 
uiawandeln" Datenschlussel mit D- und E-Attribut sowie XDin- und 
XDout-Attribut, Dies ist ein Service, der die Gefahr einer ver- 
sehentlichen Offenlegung unchif frier ter Daten verringern soil, 
da ein Insider mit bdsen Absichten die Daten mit Hilfe der An- 
weisung "Dechif f rieren" unchif friert rekonstruieren kann. Die 
Schlussel zur Umwandl\ing von Chiffretext kdnnen Im Kompatibili* 
tatsmodus nicht isoliert werden, und die Erstellung eines Steu- 
ervektors hierftir wurde falsche Sicherheit vorspiegeln, wenn in 
Wirklichkeit mittels RTMK ein Angriff durch Importiefren eines 
als Umwandlungsschliissels vorgesehenen SchlUssels als Dechiff- 
rierschlUssel (CLber den CV=0-Kanal) erfolgen kann. Der Kanal fQr 
die Umwandlung von Chiffretext kdnnte durch die Dechif frierung 
der tUDer diesen Kanal gesendeten Daten untergraben werden. 

Fig. 31 ist ein Blockdiagramm dieser Anweisung. 

# CC; 

- 1. erfolgreiche Operation 

- 2. CI Oder C2 ist ungiiltig 

- 3. f ehlgeschlagene Operation (Fehler) 

# Steuervektorpriif ung : 
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!• Prtifung von Cl 



CV-Art 

Wenn (CV-Art 
reserviert; (48:63) 



"Daten/XLT" Oder "Daten/Kom- 
patibilitat" 

"Daten/XLT", dann XDin = 1 
X'O' 



2* PrUfung von C2, falls (mac-enc = 1) 



CV-Art 

Wenn (CV-Art 
reserviert (48:63) 



"Daten/XLT" Oder "Daten/Kom- 
patibilitat" 

"Daten/XLT", dann XDout = 1 
X'C 



3* Prufung von Cl und C2 



CV-Art (Cl) 



CV-Art (C2) 



Gleicliung: OP-OP-Modus Modus, C3, C4 e*KM.C3(K), 

e*KM.C4(K) 



Gleichung : OP-EX-Modus 



Modus, C2L, C2R, C3, C4, 
e*KM.C2L(KEK2L) , e*KM.C2R(KEK2R) 
e*KM.C3(K) ,e*KEK2.C4(K) 



Gleichung : EX-EX-Modus 



Modus, CIL, CIR, C2L, C2R, C3 , C4, 
e*KM.ClL(KEKlL) , e*KM.ClR(KEKlR) , 
e*KM.C2L(KEK2L) , e*KM.C2R(KEK2R) 
e*KEKl.C3{K) , e*KEK2.C4(K) 



Gleichung: OP-IM-Modus Modus, C2L, C2R, C3 , C4, 

e*KM.C2L(KEK2L) , e*KM. C2R(KEK2R) 
e*KM.C3(K), e*KEK2,C4(K) 
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Gleichiing : IM-EX-Modus 



Modus, CIL, CIR, C2L, C2R, C3 , C4 , 
e*KM.ClL(KEKlL) , e*KM. CIR(KEKIR) , 
e*KM,C2L(KEK2L) , e*KM. C2R(KEK2R) 
e*KM.C3(K), e*KEK2.C4(K) 



Eingabe : 



Modus gibt Ein- und Ausgabef ormat der 

Anweisung GKS sowie Schlusselgene- 
rierungsiaodi an. 



Die Schiasselgenerierungsmodi werden im Abschnitit Ober die 
Schiasselverwaltung ausfOhrlicher beschrieben. 



— O: OP-OP (lokal - lokal) 

— 1: OP-EX (lokal - Export) 

— 2: EX-EX (Export - Export) 

— 3. OP-IM (lokal - Import) 

— 4. IM-EX (Import - Export) 



ClIi^ClR 64-Bit-Steuervektoren, linker und 
rechter Steuervektor fur 128-Bit- 
KEKl. 



CIL ist der Steuervektor f Ur KEKIL und CIR der Steuervektor fQr 
KEKIR. Die tatsachliche Implementierung kann auch nur ein CV 
Ubergeben und die Schlusself ormbits im Steuervektor implizit von 
der CF setzen lassen. Bei der CA wurde entschieden, fur KEKs den 
rechten und den linken Steuervektor separat zu libergeben. Diese 
beiden Steuervektorarten f Qr die KEKs mUssen vom CFAP generiert 
und verwaltet werden. 



C2L,C2R 64-Bit-Steuervektoren, linker und 
rechter Steuervektor far 1 28 -Bit- 
KEK2. 
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C2L ist der Steuervektor fur KEK2L und C2R der Steuervektor fur 
KEK2R. 

C3,C4 64-Bit-Steuervektoren fur den Aus- 

gabeschlussel • 



e*KM*ClL(KEKlL) 



e*KM.ClR(KEKlR) 



e*KM.C2L(KEK2L) 



e*KM.C2R(KEK2R) 



KEKIL ist ein linker 64-Bit- 
Schlusselchif f rierschiassel , der 
die linke H^lfte eines 128-811:- 
Schlusselchif frierschlussels KEKl 
bilde-b, dreifach chiffriert unter 
deia HauptschlUssel KM in Verbin- 
dung mit einem Steuervektor CIL. 

KEKIR ist ein rechter 64-Bit- 
Schiasselchiffrierschlussel, der 
die rechte HSlfte eines 128-Bit- 
Schiasselchiffrierschiassels KEKl 
bildet, dreifach chiffriert unter 
dem Hauptschlussel KM in Verbin- 
dxing lait eineiu Steuervektor CIR. 
KBK2L ist ein linker 64-Bit- 
Schiasselchif f rierschlussel , der 
die linke HSlfte eines 128-Bit- 
Schiasselchif frierschlussels KEK2 
bildet, dreifach chiffriert unter 
dem Hauptschlussel KM in Verbin- 
dung lait einem Steuervektor C2L. 

KEK2R ist ein rechter 64-Bit- 
Schiasselchiff rierschlussel , der 
die rechte Halfte eines 128-Bit- 
Schltisselchiffrierschiassels KEK2 
bildet, dreifach chiffriert unter 
dem Hauptschlussel KM in Verbin- 
dung mit einem Steuervektor C2R. 
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HINWEIS: Aus Grunden der Kompatibilitat unterstutzt die Archi- 
tektur sowohl Schliisselchlf f rierschltkssel (KEKs) einfacher Lange 
(64 Bit) als auch Schltisselchif f rierschlussel (KEKs) doppelter 
Lange. Alle KEKs werden jedoch als 128-Bit-Schiassel ±m CKDS 
(Schliisselspeicher) gespeichert . Ein echter Schltissel doppelter 
Lange KEK = KEKlinks 11 KEKrechts (wobei KEKlinks die linken 64 
Bit und KEKrechts die rechten 64 Bit von KEK sind) , wird zur 
Speicherung dreifach unter dem HauptschlQssel *KM in Verbindung 
mit einem Steuervektor LC und CR chiffriert. Der gespeicherte 
Schiassel ist 128 Bit lang und hat die Form e*KM.C(KEK) = 
e*KM.CL( KEKlinks) 11 e*KM •CR( KEKrechts ) . Ein KEK einfacher LSnge 
wird durch Verdoppelung zu einem 128-Bit-Schlussel ; KEK 11 KEK 
wird dann dreifach unter *KM und einem Steuervektor CL,CR chif- 
friert • Der gespeicherte Schlvissel ist 128 Bit lang und hat die 
Form e*KM.C(KEK\\KEK) = e*KM.CL(KEK) 11 e*KM.CR(KEK) . Die 
SchlHsselformbits des verdoppelten KEK-Steuervektors haben in 
beiden Steuervektoren CL und CR den Wert "01", so daB der 
Schltissel an einem Zielknoten, an dem KEK nur in 64-Bit-Form 
gespeichert ist, rekonstruiert werden kann. Die Schiasself orm- 
bits fur normale KEK-Steuervektoren haben ftir CL den Wert "10" 
und far CR den Wert "11", wodurch eine vollstSndige Trennung 
erreicht wird und ein Arbeitsfaktor von 2**112 bewahrt wird. 

- Ausgabe : 

e*KM.C3(K) K ist ein zufallsmaBig gene- 

rierter 64-Bit-Schiassel , 
dreifach chiffriert unter KM 
in Verbindung mit einem Steu- 
ervektor C3. 

Der Steueirvektor C3 wird immer benutzt. Der Schlussel K wird mit 
ungerader Paritat versehen. Dieser SchlUssel kann im Knoten in- 
tern benutzt werden. 
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e*KM.C4(K) K ist ein zufallsmaBig gene- 

rierter 64-Bit-Schiassel , 
dreifach chiffriert unter KM 
in Verbindung mit einem Steu- 
ervektor C4. 

Der Steuervektor C4 wird incner benutizt:. Der Schlfissel K wird mit 
ungerader Pari tat verseben. Dieser SchlQssel kann im Rnoten in- 
tern benutzt werden. 

e*KEKl,C3(K) K ist ein zufallsmaBig gene- 
rierter 64-Bit-Schlussel, 
chiffriert unter KEKl in Ver- 
bindung mit einem Steuervek- 
tor C3. 

Der Steuervektor C3 wird immer benutzt* Der Schliissel K wird mit 
ungerader Pari tat versehen. 128-Bit-KEKs kdnnen generiert wer- 
den^ indem GKS zweimal mit C3L und C3R anstelle von C3 aufgeru- 
fen wird. Die Obergabe dieser Steuervektoren muB vom CFAP ge- 
steuert werden. 

e*KEKl.C4(K) K ist ein zufallsmaBig gene- 
rierter 64-Bit-Schltlssel , 
chiffriert unter KEKl in Ver- 
bindung mit einem Steuervek- 
tor CA. 

Der Steuervektor C4 wird immer benutzt. Der SchlCkssel K wird mit 
ungerader Paritat versehen. 128-Bit-KEKs konnen generiert wer- 
den, indem GKS zweimal mit C4L und C4R anstelle von C4 aufgeru- 
fen wird. Die t)berg€a>e dieser Steuervektoren muB vom CFAP ge- 
steuert werden* 

Beschreibung: Die Anweisung GKS generiert eine mit ungerader 
Paritat versehene 64-Bit-Zufallszahl mit zwei durch die Steuer- 
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vektoren C3 und C4 festgelegten Attributen. Ein 128-Bit- 
Schlussel mit f estgelegter ParitSt kann durch zweimalige Ausfiih- 
rung der Anweisung 6KS generiert werden. Mit 6KS konnen Schias- 
sel nur Ober einen CV-Kanal an CV-Systeme tibertragen werden. 
KompatibilitStsschltLssel werden mit GKS nicht erstellt. Diese 
werden mit KGEN generiert und mtlssen mit RFMK gesendet werden. 
Ein Kompatibilitdtsschiassel kann entweder CLber einen CV-Kanal 
( Steuervektor en werden mit tibertragen) oder uber einen CV=0-Ka- 
nal Obertragen werden. 

Die Anweisung GKS bietet hohe Sicherheit, da nur zwei Exemplare 
des generierten Schiassels erstellt werden, die unter 
Schl€Lsseln, die zwei Zielsystemen gehoren, chiffriert sind. Die 
Steuervektoren C3 und C4 , die diesen beiden Exemplaren des gene- 
rierten SchlUssels zugeordnet sind, kannen je nach Verwendungs- 
zweck der SchlUssel entweder identisch oder unterschiedlich 
sein. 

Mit der Anweisung GKS konnen die in Fig. 32 aufgeffihrten 
Schiassel generiert und verteilt werden. 

Alle Schltissel in CA-System werden unter einem 128-Bit-KEK drei- 
facli chiffriert (EDE). Z\xr Obertragung von Schlusseln an Knoten, 
die nur 64-Bit-KEKs untersttktzen, wird ein verdoppelter 64-Bit- 
KEK benutzt. Wenn der Empfangsknoten 128-Bit-KEKs unterst^tzt, 
kann er einen SchlUssel durch Dreif ach-Dechif f rierxing (DED) re- 
konstruieren. Unterstiitzt der Empfangsknoten nur 64-Bit-KEKs, 
kann ein Schltissel durch Einf ach-Dechif f rierung rekonstruiert 
werden. Alle KEKs werden unter dem Hauptschltissel in der Form 
e*KM.ClL(K£K) 11 e*KM.ClR(IKEKR) , d.h. chiffriert in 128-Bit- 
Form, gespeichert. OIL ist eine linke Steuervektorhalfte und CIR 
eine rechte Steuervektor hSlfte. Die SteuervektorhSlften CIL und 
ClR unterscheiden sich im SchlGsself ormf eld. Dadurch wird der 
Angriff auf SchlUssel mit doppelter Lange (mit ungleichen Half- 
ten) mit Arbeitsf aktor 2**56 ausgeschaltet . Insider-Angrif f e auf 
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einen 128-Bit-Schlussel durften in der Grofienordnung von 2**56 
liegen)« 

Fig. 33 ist ein Blockdiagramxa dieser Anweisung. 

# CC: 

- .1. erfolgreiche Operation 

2. CIL Oder CIR ist ungttltig 

- 3. C2L Oder C2R ist ungttltig 

- 4. C3 ist ungttltig 

- 5, C4 ist ungttltig 

- 6. fehlgeschlagene Operation (Fehler) 

# Steuervektorprttfung: Fur Modus = 0 (OP-OP) ist folgende 



Prflfung vonzuftthren: 



1- 



Prttfung von C3 



CV-Art 



"Daten/Vertraulichkeit" Oder 

"Daten/MAC" 

'0' 



Anti-Variante ( 30 ) 
Anti-Variante ( 38 ) 
reserviert (48:63) 



X'O' 



'1' 



Prttfung von C4 



CV-Art 



"Daten/Vertraulichkeit" oder 

"Daten/MAC" 

'0' 



Anti-Variante ( 30 ) 
Anti-Variante ( 38 ) 
reserviert ( 48 : 63 ) 



X'O' 



'0' 



3. 



Prttfung von C3 & C4 
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— In Fig, 34 sind die giiltigen Kombinationen der zu pru- 
fenden Attribute von C3 und C4 aufgeftihrt. Alle nicht 
in der Tabelle aufgefCLhrten Kombinationen sind ungQl- 
tig und daher nicht zulSssig. 

FOr Modus = 1 (OP-EX) ist folgende Prtifung vonzufuhren: 

- 1* Pr^ifung von C2L 



CV-Art = "KEK/Sender" 

— GKS-Verwendungsbits (1) « l 
reserviert(48:63) = X'O' 

2. Prufung von C2R 

CV-Art = "KEK/Sender" 

— 6KS*-Verwendungsbits (1) = 1 
reserviert(48;63) = X'O' 



3. Prtifung von C3 



CV-Art 



Anti-Variante(30) 
Anti-Variante ( 38 ) 
reserviert (48:63) 



"Daten/Vertraulichkeit" oder 
"Daten/MAC Oder "Daten/XLT" 
Oder "KEK/Sender" oder "KEK/- 
Empfanger" oder "PIN/PEK" 

'1' 
X'O' 



4* Prttfung von C4 



CV-Art 



"Daten/Vertraulichkeit" oder 
"Daten/MAC" oder "Daten/XLT" 
Oder "KEK/Sender" oder "KEK/- 
Empf anger" oder "PIN/PEK" 
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Anti-Variante(30) = '0' 
Anti-Variante ( 38 ) = ' 1 ' 
reserviert(48:63) - X'o' 



5. Praftmg von C3 & C2L,C2R 
Wenn CV-Art (C3) 



6, Prufung von C4 & C2L,C2R 



"KEK/Sender" oder "KEK/Emp- 
f anger" & Schliisself orni(C3 ) = 
'10' Oder '11', dann ist 
SchlQsselform (C2L) = '10' 
und Schldsselform (C2R) 
'11' 



Wenn CV-Art (C4) = "KEK/Sender" oder "KEK/Emp- 

fSnger** & Schiasself orm(C4) = 
'10' Oder '11', dann ist 
Schldsselform (C2L) = '10' 
und Schiasselform (C2R) = 
'11' 



7. Prafung von C2L & C2R 



^ — In Fig. 35 sind die g(iltigen Kombinationen der zu prtt- 

fenden Attribute von C2L und C2R aufgefOhrt, Alle 
nicht in der Tsibelle aufgefOhrten Kombinationen sind 
ungultig und daher nicht zulassig. 



8. Prufung von C3 & C4 

— In Fig. 36 sind die gttltigen Kombinationen der zu prti- 
fenden Attribute von C3 und C4 aufgefiUirt. Andere Kom- 
binationen sind nicht zulassig. 
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Fur Modus = 2 (EX-EX) ist folgende Prufung vonzufuhren: 

- 1. Prtifung von KEKl und KEK2 

KEKIL 11 KEKIR » KEK2L 11 ( 128-Blt-Schiassel ) 

HINWEIS: Durch die PrQfung der KEKs auf Nicht(ibereinst:iinmung 
wird sichergestellt:, daB keine bidirekt:ionalen Schiassel gesen- 
de-t werden. 

- 2. Priifung von ClL 



CV-Art « "KEK/Sender" 

— GKS-Verwendungsbi-ts (2) = 1 
reserviert(48:63) = X'O' 

3. Prufung von ClR 

CV-Art = "KEK/Sender" 

— GKS-Verwendungsbits (2) = 1 
reserviert(48:63) = X'C 

4* Prtifung von C2Ij 

CV-Art = "KEK/Sender" 

— GKS-Verwendungsblt:s (2) = 1 
reservlert(48:63) = X'C 

5. Prdfung von C2R 

CV-Art = "KEK/Sender" 

— GKS-Verwendungsbits (1) = l 
reserviert(48:63) = X'C 
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"Daten/Vertraulichkeit" Oder 
"Daten/MAC" oder "Daten/XLT" 
Oder "KEK/Sender" oder "KEK/- 
Empffinger" oder "PIN/PEK" 

'1' 
X'O' 



" Da t en/ Ver t r aul i chke it" oder 
"Daten/MAC" oder "Daten/XLT" 
Oder "KEK/Sender" oder "KEK/- 
Empfanger" oder "PIN/PEK" 

'1' 
X'O' 



— wie bei Fig. 35 beschrieben 
^ - 9. Prttfung von C2L & C2R 

— wie bei Fig, 35 besohrieben 

10. Prufung von C3 & C4 

— wie bei Fig. 36 beschrieben 

11. Prufung von C3 & C2L,C2R 

Wenn CV-Art (C3) = "KEK/Sender" oder "KEK/Emp- 

f anger" & SchlusselfonQ(C3) = 

MA9-88-011 



6. Prufung von C3 
CV-Art 



Anti-Variante ( 30 ) 

— Ant i-Vari ante ( 38 ) 

— reserviert (48:63) 

7. Prdfung von C4 
CV-Art 



Anti-Variante ( 30 ) = 

— Anti-Variante (38) = 

— reserviert(48:63) = 

8. Prufung von ClL & CIR 
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'10' Oder 'US dann ist 
Schlusselfona (C2L) = '10' 
xind Schltlsselfona (C2R) = 
'11' 

12. Prafung von C4 & C2L,C2R 

Wenn CV-Art (C4) = "KEK/Sender" Oder "KEK/Emp- 

f anger'* & Schliisself onn(C4 ) ^ 
'10' Oder '11', dann ist Sch- 
lasselform (C2L) = '10' und 
Schiasselform (C2R) = '11' 

Fvir Modus = 3 (OP-IM) ist folgende Prufung vonzufuhren: 

- 1. FrUfung von C2L 



CV-Art = "KEK/Empfanger" 

~ GKS-Verwendungsbits (1) = 1 

reserviert(48:63} = X'O' 

2. PrQfung von C2R 

CV-Art « "KEK/Empfanger" 

— GKS-Verwendungsbits (1) = 1 

reserviert(48:63) = X'O' 



3. Prtxfung von C3 



CV-Art 

Anti-Var iante (30) 
Anti-Variante( 38 ) 
reserviert ( 48 : 63 ) 



"Daten/Vertraulichkeit" oder 
"Daten/MAC" Oder "Daten/XLT" 



'0' 
'1' 
X'O' 
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- 4. Priifung von C2L & C2R 

— wie bei Fig, 35 beschrieben . 

- 5* PrUfung von C2L & C2R 

— wie bei Fig. 35 beschrieben. 

- 6. Prufung von C3 & C4 

— In Fig. 37 sind die gultigen Kombinationen der zu prli- 
fenden Atitribute von C3 xind C4 aufgeffUirt. Nicht in 
der Tabelle aufgeftlhrte Kombina'tionen sind ungiiltig 
und deshalb nicht zulSssig. 

Fiir Modus = 4 (IM-EX) ist folgende Prufung vonzufUhren: (Dieser 
Modus wird fUr IBM SNA MehrdomSnenanwendungen benutzzt:.) 



"KEK/Empf anger" 
1 



"KEK/Empf anger" 
1 

X'O' 



"KEK/Sender" 
1 



1. Prlifung von CIL 
CV-Art 

— GKS-Verwendungsbits (1) = 

— reservier1:(48:63) = 

2. Prttfung von CIR 

CV-Art = 

— GKS-Verwendungsbits (1) = 

— reserviert:(48:63) = 

3. PrQfung von C2L 
CV-Art 

— GKS-Verwendungsbits (1) = 

— reserviert(48:63) = 
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Prufung von C2R 

CV-Art = "KEK/Sender" 

GKS-Verwendungsbits (1) = l 

reserviert(48:63) = X'O' 



PrQfung von C3 



CV-Art 



Anti-Variante ( 30 ) 
Anti-Variant:e(38) 
r eserviert (48:63) 



"Daten/Vertraulichkeil:" oder 

"Daten/MAC" oder "Daten/XLT" 

Oder "KEK/Sender" 

'0' 

'1' 



Praf ung von C4 



CV-Art 



Anti-Var iante ( 30 ) 
Anti-Var iante (38) 
reserviert (48:63) 



"Daten/Vertraulichkeit" oder 

"Daten/MAC" oder "Daten/XLT" 

Oder "KEK/Sender" Oder "KEK/- 

Empfanger" oder "PIN/PEK" 

'0' 

'1' 

X'O' 



Prufung von CIL & CIR 



wie bei Fig. 35 beschrieben. 



PrUfung von C2L & C2R 



wie bei Fig. 35 beschrieben. 



Priifung von C3 & C4 



117 

— wie bei Fig. 36 beschrieben. 

10. Prtifung von C3 & C2L/C2R 

Wenn CV-Art (C3) = "KEK/Sender" Oder "KEK/Emp- 

f anger" & Schltisselfona(C3) 
'10' Oder '11', dann ist 
Schlusselform (C2L) = '10' 
und Schiasselform (C2R) = 
'11' 

11. Prafung von C4 & C2L,C2R 

Wenn CV-Art (C4) = "KEK/Sender" Oder "KEK/Emp- 

f anger" & Schlusself orm(C4) 
'10' Oder '11', dann ist 
Schiasselform (C2Ij) = '10' 
und Schliisselform (C2R) - 
'11' 



Umchiffrieren vom HauptschlQssel (RFMK^ 

Gleichimg: dist-inode,e*KM.ClL(KEKlL) ,e*KM.ClR(KEKlR) , 

e*KH.C2(K), C1L,C1R,C2,C3 e*KEKl.C3(K) 

- Eingabe: dist-iaode Kanalart zur Versendung eines 

Schltissels • 

KanS^le zur Versendung von Schliisseln sind beispielsweise CV und 
CV=0. 

O: CV = 0 (Kanal) 
l: CV (Kanal) 

e*KM.ClL(KEKlL) KEKIL linker 64-Bit-Schlussel- 

chiffrierschlussel, der eine 
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HSlfte eines 128-Bit-Schlus- 
selchiffrierschlfissels KEKl 
blldet:, dreifach chiffriert 
unter dem Hauptschiassel KM 
in Verbindung mit einem Steu- 
ervekt:or ClR. 

e*KM.ClL(KEKlL) KEKIL rechter 64-Bit-SchlQssel- 

chlf f rierschiassel , der eine 
Halfte eines 128-Bit-Schias- 
selchiffrierschiassels KEKl 
bildet, dreifach chiffriert 
unter dem Hauptschliissel KM 
in Verbindung mit einem Steu- 
ervektor ClR. 
e*KM.C2(K) K ist ein 64-Bit-Schiassel , 

dreifach chiffriert unter KM 
in Verbindung mit einem Steu- 
ervektor C2. 

C2 ist der Kingabe-Steuervektor zur Rekonstruktion des Schlus- 
sels. K ist der zu exportierende Schlussel. Ein 128-Bit- 
Schiassel wird durch zweimalige Ausfuhrung der Anweisung RFMK 
exportiert • 

CIL t ClR 6 4-Bi t-Steuervektoren , 1 inker 

und rechter Steuervektor fur 
128-Bit-KEKl. 

CIL ist der Steuervektor fttr KEKIL und ClR der Steuervektor fur 
KEKIR. Die tatsSchliche Implement ierxing kann auch nur ein CV 
libergeben und die Schltisself ormbits im Steuervektor implizit von 
der CF setzen lassen, Bei der CA wurde entschieden, ftir KEKs den 
rechten und den linken Steuervektor separat zu ubergeben. Diese 
beiden Steuervektorarten fur die KEKs mUssen vom CFAP generiert 
und verwaltet werden. 
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C2 64-Bit-Eingabest:euervektor 
fOr Schltlssel K. 

C3 64-Bit:-Aus9abest:eu6rvekt:or 
far Schiassel K. 

Ausgabe: e*KEKl,C3(K) K ist der zu exportlerende 

64-Bit-SchlQssel • 

K kann mit C3 als Steuervektor oder mit C3 = 0 als Steuervektor 
exportiert werden. Der Schlussel K ist dreifach cliiffriert: unter 
elnem 128-Bit-KEKl mit Steuervektor C3. Bei KEKIL = KEKIR kann 
der Empfanger K durch einfache Dechif friening dieser Ausgabe 
rekonstruiert werden. 

Beschreibung: Die Anweisung RFMK chiffriert einen unter dem 
HauptschltLssel chiffrierten 64-Bit-Schlussel K unter einen 128- 
Bit-KEKl (den sog. ExportschlUssel ) um* Ein 128-Bit-Schltissel K 
(d.h. zwei 64-Bit-Schltlssel) kann durch zweimaliges Aufrufen der 
Anweisung RFMK exportiert werden. Ein Schlttssel, der an ein Sy- 
stem mit Steuervektoren exportiert wird, ist unter KEK1.C3 chif- 
friert, d.h. der Steuervektor wird zusammen mit dem exportierten 
SchlUssel tlbertragen. Ein Schlilssel, der an ein System ohne 
Steuervektoren exportiert wird, ist unter KEKl.O chiffriert, 
d.h. der Ausgabesteuervektor muB Null sein* 

RFMK wird zum Exportieren von Schltisseln verwendet, wenn drei 
Oder mehr SchlOssel verteilt werden mUssen (in diesem Fall kon- 
nen die erf order lichen SchlQssel nicht mit GKS generiert wer- 
den) . RFMK wird aufierdem zur Ubertragung von Daten/Kompatibili- 
tatsschltisseln an Systeme ohne Steuervektoren verwendet. Wenn 
dist-mode - 0 ist, mu5 der angegebenen Steuervektor C3 Null 
sein. Datenschiassel, KEKs, PIN-Chif f ierschlttssel , PIN-Generie- 
rungsschlussel, Zwischen-ICVs, SchlUsselteile und Token kdnnen 
mit RFMK an ein CV-System ubertragen werden. RFMK kann nicht zum 
Exportieren von durch GKS erstellten Schlusseln uber den CV=0- 
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Kanal verwendet werden. Diese Einschrankung soil die Trennung 
der Kanale CV und CV=0 gewahrleisten* 

Fig. 38 ist ein Blockdiagraioin dieser Anweisung. 

# CC: 

- 1. erf olgreiche Operai:ion 

- 2. Clli Oder CIR ist ungul-tig 

3. C2 ist ungaitig 

4. C3 ist ungaitig 

- 5. fehlgeschlagene Operation (Fehler) 

# St euervektorpr af ung : 

- 1. Priifung von CIL (Exportschlussel) : 

"KEK/Sender" 
1 

X'O' 

2* Prufung von CIR (Exportschldssel) : 

CV-Art « "KEK/Sender" 

— RFMK-Verwendungsbit = 1 

reserviert(48:63) = X'O' 

3. Prtifting von C2 ( Exportierter Schltlssel): 

CV-Art = "Daten/Kompatibilitat" Oder 

"Daten/Vertraulichkeit" oder 
"Daten/MAC" oder "Daten/XLT" 
Oder "KEK/Empf anger" oder 
"KEK/Sender" oder "PIN/PEK" 
Oder "PIN/PGK" oder "Schias- 



CV-Art 

RFMK-Verwendungsbit ^ 
reserviert ( 48 : 63 ) = 
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selteil" Oder "Zwischen-ICV" 
Oder "Token" 
reserviert(48:63) = X'O' 

4. Fiir dis-t-mode « 2 folgende PrUfung vonfuhren; 

— Verbindvmgssteuerung (CIL) = "01" oder "11" 

— Verbindungssteuerung (CIR) = "01" oder "11" 

— Exportkontrollbit (C2) =1 

CV-Art (C2) = CV-Art (C3) 

— Verwendungsbl'ts(C2) = Verwendungsbi'ts(C3) 
Anti-Variantenbit 30 (C3) = '0' 

— Anti-Variantenbit 38 (C3) = '1' 
reserviert (48:63) (C3) = X'O' 

5. FUr dist-mode = 0 folgende Prttfung vonftihren: 

— Verbindvmgssteuerung (ClL) « "10" oder "11" 

— Verbindungssteuerung (CIR) = "10" oder "11" 

— Exportkontrollbit (C2) - 1 

CV-Art (C2) = "Daten/Kompatibilitat" 

C3 =0 

6. Prufung von CIL & CIR 

— wie bei Fig. 35 beschrieben. 

?• PrUfung von C3 & ClL, CIR 

Wenn CV-Art (C3) = "KEK/Sender" oder "KEK/Emp- 

fSnger" & SchltisselfonQ(C3) = 
'10' Oder '11' , dann ist 
Schiasselform (CIL) = '10' & 
Schiasselfona (CIR) = '11', 
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Umchiffrieren unHeir HauniisnKlussel fRTMK^ 



Gleichung: dist-inode^e*KM.ClL{KEKlL) ,e*KM.ClR(KEKlR) , 

e*KEKl.C32(K) , C1L,C1R,C2,C3 e*KM.C2(K) 

Elngabe: dlst-iaode Kanalart zum Empfangen elnes 

SchlCLssels • 

KanSle zur Versendung von SchlCLsseln sind beispielsweise CV und 
CV=0. 

0: CV = 0 (Kanal) 
1: CV (Kanal) 



e*KM.ClL(KEKlL) 



KEKIL 



e*KM.ClR(KEKlR) 



KEKIR 



e*KEKl.C23K) 



linker 64-Bit-Schliissel- 
chif f rierschliissel , der eine 
Halfte eines 128-Bit-Schias- 
selchif frierschlussels KEKl 
bildet, dreifach chiffriert: 
unter dem Haupt:schltissel KM 
in Verbindung lait einem Steu— 
ervektor CIL. 
rechter 64-Bit-Schlussel- 
chif f rierschlQssel , der eine 
Halfte eines 128-Bit:-Schias- 
selchiffrierschiassels KEKl 
bildet, dreifach chiffriert 
unter dem Hauptschlxissel KM 
in Verbindung mit einem Steu- 
ervektor CIR. (KEKl ist ein 
EingabeschltLssel • ) 
K ist ein Schlussel, der 
dreifach chiffriert unter dem 
Schlusselchif frierschiassel 
KEKl in Verbindung mit einem 
Steuervektor C3 von einem 
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anderen Knoten gesendet wur- 
de. 



Der SchlQssel kann einfach oder dreifach chiffriert Qbertragen 
werden. Er wird in beiden F&llen rekonstruiert . Der SchlCLssel 
kann Qber einen CV-Kanal oder einen CV=0-Kanal gesendet: werden* 
Bei Verwendiing eines CV=0-Kanals muB dist-mode = 0 sein* Der 
empfangene Schiassel kann ungerade Paritat haben, muB ciber 
nicht, da die Paritat nicht von der CF gepruft werden muB* C3 
wird auch als Eingabe-Steuervektor bezeichnet. 



CIL , CIR 64-Blt-Steuervektoren , linker 

und rechter Steuervektor f Or 
128-Bit-KEKl, 



CIL ist der Steuervektor fur KEKIL und CIR der Steuervektor fOr 
KEKIR. Die tats^chliche Implement ierung kann auch nur ein CV 
Cibergeben und die Schiasselfonabits iia Steuervektor implizit von 
der CF setzen lassen. Bei der CA wurde entschieden, fOr KEKs den 
rechten und den linken Steuervektor separat zu Obergeben* Diese 
beiden Steuervektorarten fur die KEKs roussen vom CFAP generiert 
und verwaltet werden. 



C2 64 -Bi t-Ausgabesteuervektor 

fOr Schlflssel K. 
C3 64-Bit-Eingabesteuervektor 

ftir Schliissel K* 



Ausgabe: e*KM.C2(K) K ist der empfangene 64-Bit- 

SchlOssel , dreifach 
chiffriert unter KM in Ver- 
bindung mit einem Steuervek* 
tor C2, 



Der Schlussel wird vor der Chif frierung mit dem Hauptschltissel 
mit ungerader Paritat versehen. 
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Beschreibung: Die Anweisiing RTMK chiffriert einen unter einem 
128-Bit-Sclilusselchif frierschlussel KEK (deia sog. Import:- 
schiassel) chiffrierten 64-Bit-Schltissel K unter den Haupt- 
schltissel um, Ein 128*-Bi-b"-Schiassel K (d.h. zwei 64-Bit:- 
Schliissel) kann durch zwelmallges Aufrufen der Anweisung RTMK 
exportiert werden. 

Von eineiQ Schltissel, der von einem System mit Steuervektoren im- 
portiert wird, wird erwartet, daB er unter KEK1.C3 chiffriert 
ist^ d.h. , daB der Steuervektor zusammen mit dem importierten 
Schiassel (ibertragen wlrd. Dies wird als Import Ober einen CV- 
Kanal bezeichnet. Andere KanSle sind fiir den Import oder Export 
von Schltiseln in CA-Systemen nicht verftLgbar. In dist-mode muB 
der zur Ubertragung des Schlussels verwendete Kanal richtig an- 
gegeben werden. Bei dist-mode = 0 muB der Eingabe-Steuervektor 
Null sein. CV=o kann nur zum Senden Oder Empfangen von Daten/- 
Kpmpatibilitatsschltisseln benutzt werden. Andere Schlussel k5n- 
nen in CA-Systemen nicht dber diesen Kanal gesendet oder empfan- 
gen werden. 

Der von einem anderen System importierte Schiassel wird immer 
unter dem Hauptschiassel in Verbindung mit einem Steuervektor C2 
chiffriert gespeichert. C2 mufi der Anweisung immer abergeben 
werden. In CA-Systemen werden also alle Schiassel mit 
Steuervektoren gespeichert. 

Fig. 39 ist ein Blockdiagramm dieser Anweisung. 
# CC: 

- 1. erfolgreiche Operation 

2. CIL Oder CIR ist ungaitig 

- 3. C2 ist ungaitig 

- 4. C3 ist ungultig 

- 5. f ehlgeschlagene Operation (Fehler) 
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# SteuervektorprQf ung : 



Prtifung von CIL ( Importischiassel ) : 



CV-Art 

RTMK-Verwendungsbit 
reserviert ( 48 : 63 ) 



"KEK/Empf anger" 
1 



Prufiing von CIR (Iiaport:sGhiassel) 



CV-Art 

RTMK-Verwendungsbit 
reserviezrt (48:63) 



"KEK/Empf anger" 
1 

X'O' 



Fur dist-mode = 1 folgende PrUfung vonfOliren: 



Verblndungssteuerung (CIL) 
Verblndungssteuerung (ClR) 
CV-Art 



reserviert (48:63) 

Wenn Exportkontrollbit (C3) 

CV-Art (C3) 
Verwendungsbits ( C3 ) 
Anti-Variantenbit 30 (C3) 
Anti-Variantenbit 38 (C3) = 



"01" Oder "11" 
"01" Oder "11" 
"Daten/Kompatibilitat" 
Oder " Daten/Vertraul ich- 
keit" Oder "Daten/MAC" 
Oder "Daten/XIiT" oder 
"KEK/Empfanger" Oder 
"KEK/Sender" Oder "PIN/- 
PEK" Oder "PIN/PGK" Oder 
"Schlusselteil" Oder 
"Zwischen-ICV" oder "To- 
ken" . 
X'O' 

= 0, dann ist Export- 
kontrollbit (C2) = 0 
CV-Art (C2) 
Verwendungsbits ( C2 ) 
'0' 
'1' 
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4. Fur dist-mode = 0 folgende Priifung vonfiihren; 



— Verbindungsst:euerung (CIL) = "10" Oder "11" 

— Verblndungss-teueriing (CIR) = "lo" Oder "11" 
CV-Art (C2) = "Daten/Kompatibilltat" 
Anti-Variantenbit 30 (C2) = '0' 
Anti-Variantenbit 38 (C2) « '1' 

C3 =0 

5. PrGfung von ClL & ClR 

~ wie bel Fig. 35 beschrleben. 

6. Prufimg von C2 & ClL, CIR 

Wenn CV-Art (C2) = "KEK/Sender" oder "KEK/Emp- 

fSnger" & Schiasselform(C2) = 
'10' Oder '11', dann ist 
SchlUsselfoirm (CIL) = '10' & 
Schltisselform (CIR) = '11'. 



wr - Glelchung: Ausgabeart, CI 

- Elngabe: Ausgabeart: gibt 

sung 

0: 

1: 
2. 



K, e*KM.Cl(K) 

das Ausgabeformal: der Anwei- 
an. 



Ausgabe 64-Bit-Zuf allszahl (SchKissel) mit unge* 
rader Parltdtsanpassung 

Ausgabe 64-Bit:-Zufallszahl ohne Parltatsanpassung 
Ausgabe 64-Bi't-Zuf allszahl (SchlCLssel) mlt. unge- 
rader Par itatsanpassung , chiffriert vrnter KM in 
Verbindung mit einem Steuervektor CI. 
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64-Bit-Steuervektor ftir den gene- 
rierten Schliissel 



- Ausgabe: K 64 Bit lange unchif frierte Zu- 

fallszahl oder Schlfissel mil: Pari- 
-tStsanpassung • 
e*KM.Cl(K) K ist der generierte 64-Bit- 

SchlOssel, dreifach chiffriert 
unter KM in Verbindung mit einem 
Steuervektor CI. 

Beschreibung: Die Funktion KGEN erzeugt einen 64 Bit langen 
Schliissel mit angepaBter ParitSt oder einen 64-Bit-Klartext- 
schlussel mit angepaBter ungerader Paritat, der unter KM in Ver- 
bindung mit einem Steuervektor CI chiffriert wird, oder eine 64- 
Bit-Zuf allszahl ohne Paritatsanpassiing. Die Ausgabeart legt die 
Art der erforderlichen Ausgabe fest. Mit KGEN kdnnen Schiassel 
der Arten "Daten/Kompatibilitat" , "Daten/Vertraulichkeit" , "Da- 
ten/MAC" und "Daten/XLT" sowie ANSI-Schiassel generiert werden. 
Alle cinderen SchlUssel arten miissen mit GKS generiert werden. 

Fig. 40 ist ein Blockdiagramm dieser Anweisung. 

# CC: 

- 1. erfolgreiche Operation 

- 2 . CI ist ungiiltig 

- 3. f ehlgeschlagene Operation (Fehler) 

# Steuervektorpraf ung : 

- 1. Prttfung von CI auf Ausgabeart =2. 

CV-Art = "Daten/Kompatibilitat" oder 

" Da ten/Ver tr au 1 ichke it" oder 
"Daten/MAC" oder "Daten/XLT" 
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Anti-Variante( 30 ) 
Anti-Variante ( 38 ) 
reservlert ( 48 : 63 ) 



Oder "Dat en/ANSI" Oder "AN- 
SI/KEK" 



'0' 
X'O' 



ChiftxX^Vm unter H^uptgcniusse^ fjEMK;) 

Gleichung: CI e*KM.Cl(K) 

Elngabe: K 64-Bit-Klartextschliissel mit 

angepafilier ungerader ParltiS.!:, 
der der Funktion CLbergeben 
wird, Oder 64-Bit-Token ftir 
elnen Da^enscliltissel • 

Das Token wird zusaxomen mxt, dem Datensohliissel im CKDS gespel- 
chert:. Die Verwendxing von Tokens far die Dat:enschl€lssel wird bei 
der Anweisxing RTNMK beschrieben. 

CI 64-Bit:-Steuervekt:or fur den 

Obergebenen Schltlssel Oder das 
Token • 

- Ausgabe: e*KM.Cl(K) K ist der Obergebene 64-Bit- 

Schliissel, dreifach chiffriert 
untier KM in Verbindung mit einem 
Steuervektor CI. 

K kann auch ein 64-Bit~Token sein, das mit deia Datenschlvissel 
zusaxniaen im CKDS gespeichert wird, 

Beschreibung: Die Funktion EMK erzeugt einen unter KM in Verbin- 
dung mit einem Steuervektor CI chiffrierten 64-Bit-Scliiassel 
Oder ein ebenso chiffriertes 64-Bit-Token. 
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Wenn es slch bei dem Schltissel Oder Token, der/das der Funktion 
libergeben wird, uia die Art "Daten/Vertraulichkeit" Oder "Token" 
handelt, wird er/es iinter KM in Verbindung mit einem Steuervek- 
1:or CI chiffrierl:. Andernfalls kann die Funkt:ion nur ausgefCUirt: 
warden, wenn das System sich in "Extrasicher "-Modus befindet. In 
dieseiQ Modus konnen mit EMK alle Klartextschldssel mit jeder CV- 
Art chiffriert werden. 

Fig. 41 ist ein Blockdiagranim dieser Anweisung. 



# 



CC: 



1. erfolgreiche Operation 

2. Cl ist ungultig 

3. Nicht im " Extras icher" -Modus 

4. fehlgeschlagene Operation (Fehler) 

SteuervektorprUf ung : 
1. Prafung von Cl: 



CV-Art = "Daten/Koiapatibilitat" oder 

"Daten/Vertraulichkeit" oder 
"Daten/MAC" oder "Daten/XLT" 
Oder "Daten/ANSI" oder "AN- 
SI/KEK" Oder "KEK/Sender" 
Oder "KEK/Empfanger" oder 
"Token" oder "Zwischen-ICV" 
Oder "PIN/PGK" Oder "PIN/PEK" 

'1' 
= X'O' 

Wenn (CV-Art () ( "Daten/Kompatibilitat" oder "Token" ) , 
dann ist supersecure-mode-f lat - 1- 



Anti-Variante ( 30 ) 
Anti-Variante ( 38 ) 
reserviert ( 48 ; 63 ) 
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SchlQssel rnnwandeln fXLTKEY^ 



Gleichung: 



e*KM.ClL(KEKlL) , g*KM. CIR(KEKIR) , 
e*KH.C2L(KEK2L) , e*KM. C2R(KEK2R) , 
e*KEKl.C3(K) ^ Modus, CIL, CIR, C2L, C2R, 
C3 e*KEK2.C3(K) 



Eingabe : 

e*KM.ClL(K£KlL) 



e*KM.ClR(KEKlR) 



e*KM . C2L ( KEK2L) 



e*KM.C2R(KEK2R) 



KEKIL ist ein linker 64-Bit- 
Schliisselchif frierschltissel, der 
Bestandteil eines 128-Bit:- 
Schiasselchiffrierschiassels KEKl 
ist, dreifach chiffriert unter dem 
Hauptschltissel KM in Verbindung 
lait einem Steuervektor CIL 
(Import-KEK) . 

KEKIR ist ein rechter 64-Bit- 
Schlusselchif frierschiassel , der 
Bestandteil eines 128-Bit- 
Schiasselchif frierschiassels KEKl 
ist, dreifach chiffriert xmter dem 
Hauptschltissel KM in Verbindung 
mit einem Steuervektor CIR 
(Import-KEK) • 

KEK2L ist ein linker 64-Bit- 
SchlUsselchif frierschlUssel, der 
Bestandteil eines 128-Bit- 
Schlvisselchif frierschlussels KEK2 
ist, dreifach chiffriert unter dem 
Hauptschiassel KM in Verbindung 
mit einem Steuervektor C2L 
(Import-KEK) • 

KEK2R ist ein rechter 64-Bit- 
Schlusselchiffrierschiassel, der 
Bestandteil eines 128-Bit- 
SchlUsselchif frierschltissels KEK2 
ist, dreifach chiffriert unter dem 
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HauptschlQssel KM in Verbindung 
mit einem Steuervektor C2R 
(Import-KEK) . 

e*KEKl.C3(K) K ist ein 64-Bit-Schiassel , 

drelfach chif frieirt iinter KM in 
Verbindung mit einem Steuervektor 
C3 . K ist der umzuwandelnde 
Schltissel. Ein 128-Bit-Schlussel 
wird durch zweimaliges Aufrufen 
der Anweisung XLTKEY umgewandelt. 

Modus 0/1 

— 0: C3 = von Null verschiedener Steuervektor 
1: C3 = O 

C1L,C1R 64-Bit-Steuervektoren, linker und 

rechter Steuervektor fixr 128-Bit- 
KEKl. 

CIL ist der Steuervektor fur KEKIL und CIR der Steuervektor fxir 
KEKIR* Die tatsachliche Xmplementierxing kann auch nur ein CV 
tibergeben und die SchlUsself ormbits im Steuervektor implizit von 
der CF setzen lassen. Bei der CA wurde entschieden, tilr KEKs den 
rechten und den linken Steuervektor separat zu Qbergeben. Diese 
beiden Steuervektorarten fCLr die KEKs mlLssen vom CFAP generiert 
und verwaltet werden. 

C2L,C2R 64-Bit-Steuervektoren, linker und 

rechter Steuervektor fClr 128-Bit- 
KEK2. 

C2L ist der Steuervektor fQr KEK2L und C2R der Steuervektor far 
KEK2R. 

C3 64-Bit-Steuervektor far den 

Schiassel K. 
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Der gleiche Steuervektor wird auch fur die Ausgabe des SchlUs- 
sels unter KEK2 verwendet. 

- Ausgabe: e*K£K2«C3(K) umgewandeltier 64-Blt:-Schiassel. 

Beschreibung: Die Anweisung XLTKEY chiffriert einen unter dem 
128-Bi1:-Schlusselchif frierschlussel KEKl (dem ImportschlQssel ) 
chiffrierten 64-Bit-Schlussel urn unter den 128-Bit-Schlussel- 
chiffrierschlQssel KEK2 (den Exportschliissel ) . Lokal werden alle 
KEKs in 128-Bit-Form unter dem Hauptschltissel in Verbindung mit 
einem Steuervektor gespeichert. Die HSlften KEKL und KEKR des 
128-Bit-KEK werden separat unter KM chiffriert, so daB zwei 64- 
Bit-Schlxisselteile entstehen, die lokal zu 128 Bit verkettet 
gespeichert werden. Um den 128-Bit-KEK zu rekonstruieren, sind 
zwei Dechif frierungen der Art DED erf orderlich. Ein 128-Bit- 
Schldssel K (d.h. zwei 64-Bit-Schlttssel) kann durch zwelmaligen 
Aufruf der Anweisung XLTKEY umgewandelt werden. 

Der Modusparameter gibt die SchlCisselart des umzuwandelnden 
Schliissels an. Der Schltissel muB mit diesem Modusparameter re- 
konstruiert werden: Wenn Modus = 1 ist, muB zur Rekonstruktion 
und auch zur Umwandlung des Schliissels C3 = 0 verwendet werden. 
Mischen und Abgleichen von CV = 0 mit CV ist nicht erlaubt. 

Fig. 42 ist ein Blockdiagraxnm dieser Anweisung. 

# CC: 

- 1. erfolgreiche Operation 

- 2. CIL Oder CIR ist ungdltig 

- 3. C2L Oder C2R ist ungttltig 

- 4. C3 ist ungQltig 

- 5. f ehlgeschlagene Operation (Fehler) 

# S t euervekt or pr uf ung : 
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1 . Pruf Xing von CIL ( Importschlttssel ) : 



CV-Art = "KEK/Erapfanger" 

— XLTin-Verwendungsbit: = 1 
reserviert (48:63) = X'O' 

2 • Priif ung von ClR ( Impor-tschiassel ) : 

CV-Art = "KEK/Empfanger" 

— XLTln-Verwendungsblt = 1 
reserviert (48:63) = X'O' 

3. Prtlfung von C2L ( Exportschiassel ) : 

CV-Art = "KEK/Sender" 

— XLTout-Verwendungsbit = 1 
reserviert (48:63) = X'O' 

4 • PrUf ung von C2R ( Exportschltissel ) : 

CV-Art = "KEK/Sender" 

— XliTout-Verwendungsbit = 1 
reserviert (48:63) = X'O' 

5. Prafung von ClL & C2L: 

— wie bei Fig, 43 beschrieben. 

6. Prilfung von ClR & C2R: 

~ wie bei Fig. 43 beschrieben. 
Prafung von ClL,ClR,C2Ii,C2R: 

— Ftir Modus = 0: 

( Verbindungssteuerung ( CIL ) = ( Verbindungssteue- 
rung(ClR) = '01' Oder 
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(Verbindungssteuerung(ClL) = (Verbindungssteue- 

rung(ClR) = '11' 
FUr Modus « 0: 

(Verblndungssteuerung(C2L) = (Verbindungssteue- 

rung(C2R) = '01' Oder 
(Verbindungssteuerung(C2L) = (Verbindungssteue- 

rung(C2R) = '11' 
FOr Modus = 1: 

( Verbindtmgssteuerung ( CIL ) - ( Verbindungss'teue- 

rung(ClR) — '10' oder 
( Verblndungss'teuertmg ( CIL ) - ( Verbindungsst:eue- 

r\ing(ClR) = '11' 
— Ftir Modus = 1: 

( Verbindungssteuerung ( C2L ) = ( Verbindungssteue- 

rung(C2R) = '10' oder 
(Verbindungssteuerung ( C2L ) = ( Verbindungssteue- 

rung(C2R) = '11 

8. Prttfung von C3 & C1L,C1R: 
Wenn CV-Art (C3) 

Schlfisselform (CIL) 

8. Prtifung von C3 & C2L,C2R: 
Wenn CV-Art (C3) 

SchlCksselform (C2L) 



"KEK/Sender" oder "KEK/Emp- 
f anger" & Schlusself orm (C3) 
= '10' Oder '11'/ dann ist 
'10' imd Schlusselform (CIR) 
= '11'. 



"KEK/Sender" oder "KEK/Eiap- 
fSnger" & Schiasselfona (C3) 
= '10' Oder '11'/ dann ist 
'10' und Schiasselform (C2R) 
= '11'. 
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Umchiffrieren in neuen Hauptisch iassel fRTNMK^ 



Glelchung: 



£ingsd3e : 



Token-Modus 



Schltisselmoclus 



Modus 



Modus, e*KMC.Cl(K), CI 

e*KMN.Cl(K) 

Modus, (Token + e*KMC.Cl(K)), 
e*KMC. C2 (Token) , CI, C2 (To- 
ken + e*KMN.Cl(K), e*KMN. C2 (Token) 
bezelchnet: den RTNMK-Modus wle 
f olgt : 



— 0 : Schlusselmodus 

— 1: Token-Modus 

Im Schldsselmodus werden Schiassel in neue Hauptschiassel uinge- 
wandelt. Im Token-Modus werden Schliissel und Token in einen neu- 
en Hauptschiassel umgewandelt: , der im DKDS in einer speziellen 
Form gespeichert wird. Das CFAP generiert eine Zufallszahl ord- 
net sie als Token zu, Der chiffrierte Datenschliissel wird durch 
EXKLUSIV ODER mit diesem Token verknUpft, und das Ergebnis wird 
auf dem DKDS gespeichert.. Das Token selbst: ist geheim. Es wird 
mit EMK ( e*KM.C2( Token ) ) chiffriert \ind ebenfalls auf dem DKDS 
gespeichert* Wenn ein HauptschlUssel geSndert wird, massen Token 
und Schiassel mittels RTNMK als autarker Operation umchiffriert 



werden. 



(Token + e*KMC.Cl(K)) 



e*KMC.Cl(K) 



CI 



K ist ein 64-Bit-Schiassel , 
dreifach chiffriert unter dem ak- 
tuellen Hauptschlilssel in Verbin- 
dung mit: einem Steuervek-tor Cl. 
ist ein Steuervektor ftir den 64- 
Bit-SchlQssel K. 

ist eine 64 Bit lange Zeichenkette 
speziell fur die Speicherung auf 
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dem DKDS steht fur eine EX- 

KLUSIV-ODER-Verknupfung) . 



Das CFAP generiert diese Zeichenkette und spelchert: sie auf dem 
DKDS. Diese Elngabe 1st tilr Modus = 1 gaitig. 



e*KMC.C2( Token) ist ein 64-Bit-Token^ chiffriert 

unter dem cLktuellen Hauptschliissel 
in Verbindung mit einem Steuervek- 
t:or C2* 



Dieses Token wird mit der Anweisxing EMK generiert. Die Eingabe 
ist fttr Modus = 1 gUltig. 

C2 ist ein Steuervektor fQr das 64- 

Bit-Token. Diese Eingabe ist fxir 
Modus - 1 gtiltig. 



Ausgabe ; 

e*KMN.Cl(K) K ist ein 64-Bit-Schlussel , dreifach 

chiffriert vmter dem neuen Haupt- 
schlussel in Verbindung mit einem 
Steuervektor CI. 

(Token + e*KMN.Cl(K)) ist eine spezielle unter dem neuen 

Hauptschlfissel generierte Zeichen- 
kette, die auf dem DKDS gespei- 
chert werden kann. Diese Ausgabe 
ist nur ftir Modus = 1 gultig. 

e*KMN.C2 (Token) ein Token, das unter dem neuen 

Hauptschiassel in Verbindung mit 
einem steuervektor C2 neu chiff- 
riert wurde. Diese Ausgabe ist nur 
far Modus - 1 giiltig. 



Beschreibung: Die Anweisung RTNMK bewirkt, daB ein chiffrierter 
64-Bit*Schiassel unter dem aktuellen Hauptschli&ssel dechiffriert 
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und anschlieBend unter einem neuen Hauptschltissel wieder chif f- 
riert wird. 

Hit: der Anweisiing RTNHK werden alle SchlUssel lin Sysi:em neu 
chiffriert, wenn ein HauptschlUssel geandert wird. Diese Anwel* 
sung behalt den aktuellen Haup1:schliissel ixnd den neuen Haupt- 
schllissel in den ent:sprechenden Registern in der Chif f riervor- 
richtung. Uia die Anweisung RTNMK auszufiihren, muB eine Markier- 
ung fur den neuen Haup-bschliissel (NMK-Markieriing) vorhanden 
sein, die in der Chif friervorrich'tung gese'tz't wird. Beim Laden 
des neuen Hauptschlussels in die Chif friervorricht:ung wird diese 
Markierung geselizi:, und am fJTbergangspunk-b wird die NHK-Markie- 
rung durch die Anweisung SMK zurUckgeset:zt: • In der Chif friervor- 
richtung muB es Vorrichtungen fQr den neuen und den aktuellen 
Hauptschlussel geben; auBerdem kann eine Speicherstelle fiir den 
altien HauptschlUssel vorhanden sein, an der der vor dem aktuel- 
len Hauptschliissel zuletzt gQltige alte Hauptschlussel gespei- 
chert wird. «7edeia HauptschltLssel muB in der CF eine Markierung 
zugeordnet sein, und die Markierung fdr den aktuellen Haupt- 
schlussel muB gesetzt sein, damit die RTNMK-Operation ausgeftlhrt 
werden kann. Die HauptschlQsselmarkierungen werden am Obergangs— 
punkt durch die Anweisung SMK gesetzt. 

In manchen Systemen gibt es vielleicht Anwendungen, die am Ober- 
gangspunkt offline sind. Einige Schiassel sind deshalb mOgli- 
cherweise noch unter dem alten Hauptschliissel chiffriert- Wenn 
die Anwendung nach dem Obergangspunkt wieder online ist, kdnnen 
solche Schliissel mit der Anweisung "Umchif f rieren in den aktuel- 
len Hauptschlussel*' (RTCMK) vom alten Hauptschliissel unter den 
aktuellen Hauptschlussel chiffriert werden. 

Wenn die CMK- und NMK-Markierungen nicht gesetzt sind, wird die 
Operation abgebrochen. 

Die Anweisung RTNMK kann auch zur Umchif frierung eines Tokens 
und eines dem Token zugeordneten Sondezrwertes in einer autarken 
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Operation verwendet werden. Der Sonderwert wird durch EXKLUSIV- 
ODER-Verkniipfung elnes Tokens mit dem chif f rierten Datenschltis- 
sel berechnel:. Die Dat:enschl(issel werden auf dem DKDS als solche 
Sonderwerte gespeichert, und der chiffrierte Token-Wert wird 
ebenfalls als geheixner Wert gespeichert. Der chiffrierte Token- 
Wert kann nur intern in den Anweisungen RTNMK oder RTCMK inner- 
halb der CF dechiffriert werden. Eine andere M5glichkeit, das 
Token zu dechif frier en, gibt es in der CA nicht. Der Token-Wert 
wird mittels EMK chiffriert, und dem Token wird ein spezieller 
Steuervektor zugeordnet. Bei den Anweisungen EHK und RTNHK wird 
eine Steuervektorpriif ung durchgef iihrt , damit die Sicherheit des 
Tokens im System gewahrleistet ist. 



Fig. 44 und Fig. 45 sind Blockdiagranme dieser Anweisung. 



# CC: 



- 1. erf olgreiche Operation 

2. NMK-Markierung nicht gesetzt, unzulassige Folge 

- 3. CMK-Markierung nicht gesetzt, unzuldssige Folge 

- 4. CI ist ungtiltig 

- 5. C2 ist ungaitig 

- 6. f ehlgeschlagene Operation (Fehler). 

# Steuervektorpriif ung : 

• 1. PrUfung auf CI, falls Modus = 0 ist. 

reserviert (48:63) = X'O' 



2. Prufung auf C2, falls Modus = 1 ist. 

CV-Art = "Token" 

reserviert (48:63) = X'O' 

Umchiff rieren in aktuellen HauDtschiassel (RTCMKl 
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SchlUsselmodus 



Token-Modus 



Eingabe : 



Modus 



Modus^ e*KMO,Cl(K), CI 

e*KMC.Cl(K) 

Modus, (Token + e*KMO.Cl(K) ) , 
e*KMO. C2 (Token) , CI, C2 (To- 
ken + e*KMC.Cl(K), e*KMC.C2 (Token) 
bezeichnet den RTCMK-Modus wie 
folgt: 



— O : Schltisseliaodus 

— 1: Token-Modus 



e*KMO.Cl(K) 



CI 



(Token + e*KMO.Cl(K)) 



K ist ein 64-Bit:-Schltissel, 
drelfach chiffriert unter dem al- 
ten HauptschltLssel in Verbindung 
mi^t elnem S'teuervek'tor CI. 
ist ein Steuervektor ftir den 64- 
Bit-Schlussel K. 

ist eine 64 Bit lange Zeichenkette 
speziell ftir die Speicherung auf 
dem DKDS (' + ' steht ftir eine EX- 
KLUSIV-ODER-Verkndpfung) . 



Das CFAP generiert diese Zeichenkette und speichert sie auf dem 
DKDS. Diese Eingabe ist ftir Modus » 1 giiltig. 



e*KMO.C2 (Token) 



ist ein 64-Bit-Token, chiffriert 
unter dem alten Hauptschlussel in 
Verbindung mit einem Steuervektor 
C2. 



Dieses Token wird mit der Anweisung EMK generiert. Die Eingabe 
ist far Modus = 1 gtiltig. 
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C2 ist ein Steuervektor fur das 64- 

Bit-Token. Diese Eingabe ist fur 
Modus = 1 gttltig. 

- Ausgabe : 

e*KMC.Cl(K) K ist ein 64-Bit-Schiassel , dreifach 

chiffriert unter delta aktuellen 
Hauptschiassel in Verbindxing mit 
einem Steuervektor CI. 

(Token + e*KHC.Cl(K)) ist eine spezielle unter dem neuen 

Hauptschliissel generierte Zeichen- 
kette, die auf dem DKDS gespei- 
chert werden kann. Diese Ausgabe 
ist nur fur Modus = 1 gultig. 

e*KMC .02 (Token) ein Token, das unter dem aktuellen 

Hauptschlussel in Verbindung mit 
einem Steuervektor C2 neu chiff- 
riert wurde, Diese Ausgabe ist nur 
fur Modus = 1 gaitig. 

Beschreibung: Die Anweisung RTCMK bewirkt, daB ein chiffrierter 
64-Bit-Schiassel unter dem alten HauptschltLssel dechiffriert und 
anschlieBend unter einem edctuellen Hauptschiassel wieder chif- 
friert wird. 

Mit der Anweisung RTCMK werden die Schlussel im system neu chif- 
friert, wenn sie unter dem alten Hauptschlussel chiffriert sind 
und der Hauptschiassel seither geSLndert wurde. Dies bedeutet, 
daB die NMK-Markierung nicht gesetzt ist und die Anweisung SMK 
bereits ausgefOhirt wurde. Der aktuelle Hauptschiassel ist der 
neue Hauptschiassel far die Schiassel, die nicht mit RTNMK um- 
chiffriert wurden. Um die Anweisung RTCMK auszufOhren, muB die 
CMK-Markierung und die OMK-Markierung gesetzt werden, uSid die 
NMK-Markierung muB in der CF zurttckgesetzt werden. Bei dieser 
Anweisung bleiben der aktuelle Hauptschlussel und der neue 
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Hauptschlussel in den entsprechenden Registern in der Chiffrier- 
vorrichtung gespeichert:. 

Das CFAP im Chif friersiibsystem muB tiber die Verwendung der An- 
weisungen RTNMK und RTCMK sowie Ober die Hauptschiasselebene 
infonniert sein. Nur ein alter Hauptschltlssel kann wahlweise in 
der CF verwaltet werden, iiin das Problem der alten Hauptschiassel 
zu losen, und das CFAP muB deshalb immer wissen, welche SchlOs- 
sel unter deia alten bzw. unter dexn aktuellen Hauptschiassel 
chiffriert sind. 

RTCMK ist eine nicht obligatorische Anweisung, die nur dann im- 
plementiert werden kann, wenn sie nach dem IJbergangspunkt des 
neuen Hauptschiassels ausgefOhrt werden soil. 

Wenn die OMK- und CMK-Markierungen nicht gesetzt sind und die 
NMK-Markierung nicht zurUckgesetzt ist, muB die Operation eO^e- 
brochen werden. 

Die Anweisimg RTCMK kann auch zur Umchif f rierung eines Tokens 
und eines dem Token zugeordneten Sonderwertes in einer autarken 
Operation verwendet werden. Der Sonderwert wird durch EXKLUSIV- 
ODER-Verkntipfung eines Tokens mit dem chiffrierten DatenschlQs- 
sel berechnet. Die Datenschlussel werden auf dem DKDS als solche 
Sonderwerte gespeichert^ und der chiffrierte Token-Wert wird 
ebenfalls alis geheimer Wert gespeichert. Der chiffrierte Token- 
Wert kann nxir intern in den Anweisungen RTNMK oder RTCMK inner- 
halb der CF dechiffriert werden. Eine andere Mdglichkeit, das 
Token zu dechif frieren, gibt es in der CA nicht. Der Token-Wert 
wird mittels EMK chiffriert, und dem Token wird ein spezieller 
Steuervektor zugeordnet. Bei den Anweisungen EMK und RTCMK wird 
.eine Steuervektorprtifung durchgefiihrt, damit die Sicherheit des 
Tokens im System gewahrleistet ist. 

Fig. 46 und Fig. 47 sind Blockdiagramme dieser Anweisung. 
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# CC: 



1. erfolgreiche Operation 

2. OMK-Markierung nicht gesetzt, unzuiassige Folge 

3. CMK-Markierung nicht gesetzt, unzulSssige Folge 

4. NMK-Markierung nicht gesetzt, unzulassige Folge 

— 5* CI ist iingultig 

- 6. C2 ist ungviltig 

7. fehlgeschlagene Operation (Fehler). 

# Steuervektorprdf ung : 

1. Priifung auf CI, falls Modus = O ist. 

— reserviert (48:63) = X'C 

2. Prafung auf C2, falls Modus = 1 ist. 

— CV-Art = "Token" 

— reserviert (48:63) = X'C 

Hauptschiaggel setze n fSMK^ 



Gleichung: () 
Eingabe : keine 
Ausgabe : keine 



Beschreibung: Die Anweisung SMK bewirkt folgendes: 



1. (alter Hauptschltissel = aktueller HauptschlUssel ) 

2. (OMK-Markierung = 1) 

3. aktueller HauptschlCissel = neuer HauptschlQssel 

4. CMK-Markierxing =1 

5. NMK-Markierung = 0. 
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Diese Anweisung darf nur im " Extras icher"«Modus ausgefiihrt wer- 
den, d.h., die physische Schltisselposition muB die "Extra- 
sicher "-Position sein, und in der Chif f riervorrichtung muB die 
•»Extrasicher"-Markierung gesetzt sein, damit diese Anweisung 
ausgeftUirt werden kann. Die linke und die rechte Halfte des Hau- 
ptschltissels werden im Register fiXr den neuen Hauptschltissel auf 
Nichttibereinstimmung geprttft; bei Ubereinstimmung der beiden 
Schlfisselhalften mu5 die Operation abgebrochen werden* 

Nach AusfOhrung von SMK in der CF verwendet diese fQr alle Chif- 
frieroperationen nur noch den neuen Hauptschlussel • Nach AusfOh- 
rung dieser Anweisung ist der Obergangspunkt wirksam. Enth^lt 
das System weitere Schlussel, die unter dem alten Hauptscliltissel 
chiffriert sind, ist die Anweisung RTCMK die einzige 
M5glichkeit, die Schlussel umzuchiff rieren. 

Wenn die NMK-Markierung in der CF nicht gesetzt ist, muB die 
Operation abgebrochen werden. 

# CO; 

- 1. erfolgreiche Operation 

- 2. NMK-Markierung nicht gesetzt 

- 3. linke und rechte Halfte identisch 

4. Extrasicher-Markierung nicht gesetzt, ungUltige Folge 

- 5. fehlgeschlagene Operation (Fehler). 

** MDCQE ** 

Beschreibung: Eine Anweisung nach dem Stand der Technik, die 
einen Anderungserkennungscode (HOC) berechnet. 

Speicherinha lt der Chif f riervorrichtung loschen fCLRCF) 

- Gleichung: () 

- Eingabe : keine 
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- AusgedDe: keine 

Beschreibung: Die Register der Chif f riervorrichtung (CF), die 
Harkieriingen und der gesainte lokale Speicherinhalt werden ge- 
loscht:. Mit dieser Fvuikt:ion konnen die Haup1:schl€Lssel und Mar* 
kieningen geloscht werden, wenn der Hauptschiassel in Gefahr 
ist. Wenn die HauptschlCksselmarkierungen zurackgesetzt werden, 
kann ein Eindringling die SchlUssel nicht mit Hilfe von RTNMK 
Oder RTCMK vom gefShrdeten Schlussel unter seinen eigenen 
Hauptscliltissel mnchif f rieren. 

Diese Fixnk-tion kann unter der Kontrolle eines physischen 
Schlussels Oder als privilegierte Anweisung implementiert wer- 
den, je nachdem, wie stark das System vor einer Funktionsunf a- 
higkeit durch unberechtigte Benutzer geschutzt werden soil. 

# CC: 

- 1. erfolgreiche Operation 

- 2. fehlgeschlagene Operation (Fehler) • 

SchlGsselteilereaister 16schen fCIJ«PR^ 

- Gleichung: () 

- Eingabe: keine 

- Ausgabe : keine 

Beschreibung: Die Anweisung CLRKPR Idscht das Schltisselteilere- 
gister in der Chif f riervorrichtung (CF). Mit dieser Anweisung 
k5nnen fehlerhaft eingegebene oder gefahrdete Werte im Schlus- 
selteileregister gelQscht werden. CLRKPR ermoglicht das Ldschen 
des Schldisselteileregisters ohne die ganze CF zu st5ren; das 
Schiasselteileregister wird aber auch mit der Anweisung CLRCF 
geloscht. Es bleibt dem Betreiber Uberlassen, wie die Anweisun- 
gen CLFCF und CLRKPR implementiert werden; es kann beispielswei- 
se eine einzige Anweisung geben, mit der ein CF-Register selek- 
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tiv zurackgesetzt werden kann. In einer Implementierung kann zuiu 
Beispiel ein physischer Schlussel verwendet Oder die Funktion 
als privilegierte Anweisung ausgefahrt warden, je nachdem, wie 
stark das System vor einer Funktionsunf ahigkeit durch unberech- 
tigte Benutzer geschutzt werden soil. 

# CC: 

- 1. erf olgreiche Operation 

- 2. fehlgeschlagene Operation (Fehler) 

NMK-Reaister loschen fCLRNMK^ 

- Gleichung: () 

- £ingabe: keine 

- Ausgabe : keine 

Beschreibxing: Die Anweisung CUUIMK Idscht das NMK-Register in 
der Chiffriervorrichtung (CF). Hit dieser Anweisung kSnnen feh- 
lerhaft eingegebene Oder gefShrdete Werte im NKM-Register 
geloscht werden. Die Anweisung CLRCF ist zu umfassend, deshalb 
steht zum L6schen eines Registers fiir den neuen Hauptschlussel 
die Anweisung CLRNMK zur Verfiigung. Es bleibt dem Betreiber 
Oberlassen, wie Anweisungen wie CLFCF, CLRKPR undL CUOXKK imple- 
mentiert werden; es kann beispielsweise eine einzige Anweisung 
geben, mit der ein CF-Register selektiv zuriickgesetzt werden 
kann. In einer Implementierung kann zum Beispiel ein physisclier 
Schltissel verwendet oder die Funktion als privilegierte Anwei- 
sung ausgefahrt werden, je nachdem, wie stark das System vor 
einer Funktionsunf^higkeit durch xinberechtigte Benutzer ge- 
schfitzt werden soil. 

# CC: 

- 1. erf olgreiche operation 

2. fehlgeschlagene Operation (Fehler) 
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CV-Berec bfciauna reduzieren fLCVA) 



Gleichung: e*KM.Cl(K) ,C1,C2 e*KM.C2(K) 

Eingabe: e*KM.Cl(K) K ist ein 64-Bit-Schliissel , 

drelfach chiffriert un'ber dem 
Hauptschiassel in Verblndung lait: 
einem S-teuervekter CI. 
Cl 64'-Bit-Ei ngabes t euervektor 

C2 64-Bit-Ausgabesteuervekt:or 
Ausgabe: e*KM.C2(K) K ist ein 64-Bit-Schltlssel , 

dreifach chiffriert unter KM in 
Verbindung mit einem 64-Bit- 
Steuervektor C2« 



Beschreibung: LCVA ist eine Steuervektoranweisung zur Reduzie- 
rung der Berechtigiing im Exportkontrollf eld des steuervektors • 



# CC: 



- 1. erfolgreiche Operation 

- 2, Cl Oder C2 ist ungaitig 

- 3. fehlgeschlagene Operation (Fehler). 

# SteuervektorprQf ung : 

- 1. Prufung auf Cl und C2 



CV-Art (Cl) 

reserviert (48:63) (Cl) = 

Verwendungsbits f Qr = 
KEKs (Cl) 

Verwendungsbits ftir = 
PIN-Schlussel (Cl) 
Exportkontrollbits : 
Exportkontrollbit 1 (C2) « 



CV-Art (C2) 

reserviert (48:63) (C2) 
= X'O' 

Verwendungsbits far 
KEKs (C2) 

Verwendungsbits fur 
PlN-SchlUssel (C2) 

1 (keine weitere RFMK) 
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TCT-Ri^en Ha untschlQsselteil laden fLFMKPl 



Gleichung: 
Eingabe : 
Ausgabe : 



() 

kelne 
keine 



Beschreibung: Diese Anweisung ladt den Inhalt des KP-Registers 
in das NMK-Register - Markiervmg(NMK Reg) = "teilweise voll" und 
Markierting(KP Reg) = "leer". Der in Schliisselteileregister ge- 
spelcheriie erste Teil des Hauptschliissels wird in das Register 
fClr den neuen Hauptschldssel (NHK-Register) geladen. AuBerdem 
wird die Markierung des NMK-Registers auf von "leer" auf "teil- 
weise voll" gesetzt, um anzuzeigen, daB das NMK-Register nicht 
ganz voll ist, und der Inhalt des Schiasselteileregisters wird 
von "voll" auf "leer" gesetzt, im anzuzeigen, daB das Schlussel- 
teileregister jetzt leer ist. Diese Operation wird nur ausge- 
fuhrt^ wenn das Schiasselteileregister "voll" und das NMK-Regi- 
ster "leer" ist, 

HINWEIS: Es wird davon ausgegangen, daB vor der Ausfuhrung die- 
ser Anweisung ein erster Hauptschlxisselteil aber eine Eingabe- 
vorrichtimg (z*B. ein Tastenfeld oder eine Tastatur) mit Trig- 
gertaste (z.B. Eingabetaste ) in das Schliisselteileregister ein- 
gegeben wurde. (Die Triggertaste dient gewohnlich zura Stairten 
der Aktion, in der der Wert des Ober das Tastenfeld oder die 
Tastatur eingegebenen Schlfissels in das Schiasselteileregister 
geladen wird.) 

Die folgende Zusatzf unktion ist nicht obligatorisch. Sie kann 
bei Systemen mit physischen Schlusseln implementiert werden. 

Damit diese Anweisung ausgefdhrt wird, muB auBer den oben ge- 
nannten Bedingungen fdr Markierungen und Register die Schlussel- 
schalterstellung festgestellt werden und der Schltisselschalter 
sich in der richtigen Stellung befinden (z.B. Aktivierung des 
ersten Hauptschlusselteils) • 
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# cc: 

- 1. erfolgreiche Operation 
2. CKPl ist ungaitig 

- 3 • fehlgeschlagene Operation ( Fehler ) • 

# steuervektorprafung: keine 
Sffh3.QspQltej.le koinbinieren (CMl^p) 

- Gleichung: Modus ' Inhalt des NMK = (Inhalt des NMK- 

Registers) XOR (Inhalt des KP-Re- 
gisters ) , Markierung ( KP-Register ) 
= "leer" und Markierung (NMK) = 
"teilweise voll" bei Modus = 0, 
Oder Markierung (NMK) = "voll" bei 
Modus » 1. 

- Eingabe : keine 

- Ausgabe : keine 

"Modus" ist die Eingabe fOr die Anweisung und gibt ah, ob es 
sich urn den letzten Hauptschlusselteil handelt. 

— Wenn Modus = 0 ist, ist der zu konbinierende Schltis- 
selteil nicht der letzte, und es wird erwartet, daB 
noch weitere SchlQsselteile erwartet werden, um den 
vollstdndigen Hauptschiassel zu bilden. 

— Wenn Modus = 1 ist, ist der zu kombinierende Schltis- 
selteil der letzte, und nach Ausfuhrung dieser Anwei- 
sung wird im NMK-Register der vollstandige Haupt- 
schlOssel gebildet. 

Beschreibung: Bei dieser Anweisung wird der im Schlttsselteile- 
register gespeicherte j-te Hauptschltisselteil KPj mit eineia Oder 
laehreren anderen im NMK-Register gespeicherten Schlusselteilen 
kombiniert und das Ergebnis im NMK-Register gespeichezrt. 
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Die Anwelsung andert ferner folgende Markierungen: 

Die Markierung des KP-Registers wird von "voll" auf 
"leer" gesetzt. 

Die Markierung des NMK-Registers wird bei Modus = 1 
auf "voll" und bei Modus = 0 auf "teilweise voll" ge- 
se-tz-k • 

Diese Anweis\ing wird nur ausgefCUirt, wenn das Schlusselteilere- 
gist:er "voll" und das NMK-Register "teilweise voll" ist. 

HINWEXS: Es wird davon ausgegangen, daB vor der AusftLhrung die- 
ser Anweisung der Hauptschiasselteil KPj tiber eine Eingabevor- 
richtung (z.B. ein Tastenfeld oder eine Tastatur) xnit Triggerta- 
ste (z.B. Eingabetaste) in das Schltisselteileregister eingegeben 
wurde* (Die Triggertaste dient gewohnlich zum Starten der Ak- 
tion, in der der Weirt des ttber das Tastenfeld Oder die Tastatur 
eingegebenen Schlttssels in das Schlttsselteileregister geladen 
wird.) 

Die Verwendung dieser Anweisung und der Anweisung "Ersten 
Hauptschiasselteil laden" bei der Installation eines mehrteili- 
gen Hauptschiassels wird im Abschnitt iiber die Schlusselverwal- 
tung bei den Schiasselinstallationsprozeduren beschrieben, (Bin 
HauptschltLssel KM kann beispielsweise aus n Teilen KMl, 
KM2^...KMn bestehen^ wobei KM = KMl XOR KM2 ... XOR KMn ist.) 

Die folgende Zusatzf unktion ist nicht obligatorisch. Sie kann 
bei systemen mit physischen Schiasseln implementiert werden. 

Damit diese Anweisung ausgefOhrt wird, muB auBer den oben ge- 
nannten Bedingiingen fCkr Markierungen und Register die Schiassel- 
schalterstellung festgestellt werden und der SchlQsselschalter 
sich in der richtigen Stellung befinden (z.B. Aktivierung des 
zweiten Hauptschliisselteils) . 

MA9-88-011 



150 

# cc: 

- 1. erfolgreiche Operat:ion 

2. CKPl Oder CKP2 Oder CKEK ist ungQltig 

- 3. fehlgeschlagene Operation (Fehler) . 

# S-teuervektorprCLfung: keine 

Ersten Schlusselteil laden fLFKP^ 

Beschreibung: Diese Anweisung chiffriert den ersten Tell eines 
Schltissels, der Im Schltisselteileregister gespeichert: ist. Der 
chiffrierte Schltisselt:eil wird dann vom CFAP im 
SchlCtsselspeicher gespeichert, von wo er spater abgerufen iind 
(durch die Anweisung "Schiasselteile kombinieren") mit anderen 
Teilen des Schlussels kombiniert werden kann* Bei der AusfOhrung 
dieser Anweisung wird die Markierung des SchlUsselteileregisters 
von "voll" auf "leer" gesetzt. 

Damit diese Operation ausgefiihrt wird, muB das Schiasselteile- 
register "voll" sein* 

gphlftsseltgil^ kombipjeyen fCiqp) 

Beschreibung: Die Anweisung "Schlfisselteile kombinieren" koiobi- 
niert einen im Schiasselteileregister gespeicherten Schiassel- 
teil mit dem vorausgehenden Schiasselteil eines Schiassels, Die 
Kombination der Schlusselteile erfolgt durch XOR-Verkniipf ung. 
Bei der AusfQhrung dieser Anweisung wird die Markierung des 
SchlUsselteileregisters von "voll" auf "leer" gesetzt. 

Diese Operation wird nur ausgefClhrt, wenn das SchlUsselteilere- 
gister "voll" ist. 
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Beschreibung: Die Anweisung berechnet ein Priif muster fiir einen 
vorgegebenen Schlussel K. Mit dem Pruf muster kann gepraft wer- 
den, Ob ein manuell installierter Schlussel richtig eingegeben 
wurde. Einzelheiten dleser Anweisung sprengen den Rahmen der 
vorliegenden Erfindung. 

ANSI FehlererkennuncrscQde qenerieren rAGEDC^ 

- Gleichung: A - EDC 

Eingabe: A Da ten, fUr die der Fehlererken- 

nungscode generiert werden soli. 

- Ausgabe: EDC Fur die durch A angegebenen Daten 

berechneter 64-Bit-Fehlererken- 
niuigscode • 

Beschreibung: Fehlerbeschreibungscodes werden in ANSI X9, 17-1985 
zur Erkennung von tybertragungsf ehlern oder Verarbeitungsf ehlern 
verwendet, wenn andere MaBnahmen (z.B. Identifika- 
tionstiberprtLfung unter einem geheimen Schlussel) nicht mdglich 
sind. Der Fehlererkennungscode wird mit Hilfe des in ANSI X9.9- 
1982 definierten Identif ikationsGberprufungsverf ahrens (MAC) und 
eines f eststehenden , nicht geheimen SchlUssels KDX = 
X'01234567890ABCDEF' generiert. 

AGECD kann im CFAP mit Hilfe der Anweisung "Codieren" und dem 
unchif frierten Wert KDX simuliert werden. Diese Anweisung darf 
NICHT mittels anderer CA-Anweisungen (wie z.B. GMAC oder "Chiff- 
rieren") mit einer unter dem HauptschlUssel chif frierten voraus- 
berechneten Form von KDX simuliert werden (da dies ein bekannter 
unter dem HauptschlUssel chif frierter Wert ist) • 

ANSI Fehlererkennungscode ubernrttfen fAVEDCl 

- Gleichung: A, EDC ja/nein 
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Ausgabe : 



Eingabe : 



A 



EDC 



ja/nein 



Daten, die rait dem ubergebenen 
Fehlererkennungscode uberpriift 
werden sollen. 

64-Bit-Fehlererkennungscode , der 
fdr die durch A angegebenen Da-ten 
tkberprQft werden soil, 
gibt an, ob der mit den durch A 
angegebenen Daten berechnete Feh- 
lererkennungscode mit dem tiberge— 
benen EDC Ubereinstimmt. 



Beschreibung: Fehlerbeschreibungscodes werden in ANSI X9. 17-1985 
zur Erkennung von Obertragungsf ehlern oder Verarbeitungsfehlern 
verwendet, wenn andere MaBnahmen (z.B. Identifika- 
tionsUberpriif ung unter einem geheimen Schlussel) nicht raoglich 
sind, Der Fehlererkennungscode wird mit Hilfe des in ANSI X9.9- 
1982 definierten Identif ikationsOberprtlfungsverf ahrens (MAC) und 
eines f eststehenden, nicht geheimen Schltissels KDX = X'01234567- 
890ABCDEF' generiert. 

AVECD kann im CFAP mit Hilfe der Anweisung "Codieren" und dem 
unchif frierten Wert KDX simuliert werden. Diese Anweisung darf 
NICHT mittels anderer CA-Anweisungen (wie z.B. GKAC Oder VMAC) 
mit einer unter dem HauptschlQssel chiffrierten vorausberechne- 
ten Form von KDX simuliert werden (da dies ein bekannter unter 
dem Hauptschiassel chif frierter Wert ist) • 

ANSI Partiellen Bealaubicfunas schiassel erstellen fAPNOTR^ 

Gleichung: Modus, e*KM. CIL ( KKl ) ,e*KM.ClR(KKr) , FMID^ 



TOID, CIL^CIR, C2L,C2R == 



Eingabe : Modus 



e*KM.C2L(KKNIL) ,e*KM-C2R(KKNIR) 
; gibt an^ ob die Eingabe *KK = KKl // 

KKr ein verdoppelter 64-Bit-KEK (KKl = 
KKr) Oder ein echter 128-Bit-KEK ist. 



0: 



echter 128-Bit-KEK 



MA9-88-011 



153 



1: 



verdoppellier 64-Bit-KEK 



Der Algorithmus zur Erstellung von partiellen Beglaubigungs- 
schltlsseln 1st: bel 64-Bit-KEKs gerlngfUgig anders als bel 128- 
Bi-t-KEKs (siehe '■Beglaubigungsalgorl'thiaen" ) • Der rlcht:lge Algo- 
rithmus wird durch den Modus-Parameter ausgewdhlt, da die rich- 
tige Auswahl nicht vom Eingabe-KKK selbst abgeleitet werden kann 
(sowohl 64-Bit-KEKs als auch 128-Bit-KEKs werden als 128 Bit 
eingegeben) • 



HINWEIS: In der CA werden alle KEKs (einschlieBlich ANSI KEKs) 
in 128-Bit-Form, als linke und rechte 64-Bit-Schlusselteile, 
gespeichert. (64-Bit-KEKs werden zu 128 Bit verdoppelt. In die- 
sem Fall ist die linke und die rechte SchlUsselhaifte iden- 
tisch.) Der linke Teil von *KK wird unter dem Hauptschlttssel in 
Verbindung mit einem linken Steuervektor chiffriert und im CKDS 
gespeichert* Entsprechend wird der rechte Teil von *KK unter dem 
Hauptschiassel in Verbindung mit einem rechten Steuervektor 
chiffriert und im CKDS gespeichert* Die Schldsselformbits im 
steuervektor unterscheiden zwlschen linker und rechter Haifte 
vmd zwischen 64- und 128-Bit-KEKs. 



e*KM.ClL(KKl) 



e*KM.ClR(KKr) 



64-Bit-KKl, chiffriert unter dem 
Hauptschliissel in Verbindung mit 
einem Steuervektor CIL. KKl ist 
die linke Halfte eines 128-Bit- 
Schiasselchif frierschlttssels *KK. 
64-Bit-KKr, chiffriert iinter dem 
HauptschlUssel in Verbindung mit 
einem Steuervektor CIR. KKr ist 
die rechte Halfte eines 128-Bit- 
Schiasselchiffrierschltissels *KK. 



FMID 



16 ASCII-Zeichen gemSB der Definition in 
ANSI X3- 4-1977. 
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Dies ist eine "Ausgangsknoten"-Kenniing, die als Beglaubigungs- 
parameter verwendet wird. 1st sie keine 16 Zeichen lang, muB 
sie, wie in Abschnitt 7.5 von ANSI X9. 17-1985, "Notarisation of 
Keys", beschrieben, wiederholt: werden, bis 16 Zeichen erreicht 
sind. (Siehe Referenzlit:erat:urlis'be) • 

TOID 16 ASCII-Zeichen gemaB der Definition in 

ANSI X3. 4-1977. 

Dies ist eine "Zielknoten"-Kennung, die als Beglaubigungspara- 
meter verwendet wird. Ist sie keine 16 Zeichen lang, lauB sie, 
wie in Abschnitt 7.5 von ANSI X9. 17-1985, "Notarisation of 
Keys", beschrieben, wiederholt werden, bis 16 Zeichen erreicht 
sind. (Siehe Ref erenzl iterator liste) • 

C1L,C1R 64-Bit-Steuervektoren far linken 

bzw. rechten Teil von *KK. 

C2L,C2R 64-Bit-Steuervektoren fiir linken 

bzw. rechten Teil von *KKNI. 
Ausgabe: e*KH.C2L(KKNIL) 64-Bit-KKNIL, chiffriert unter dem 

Hauptschiassel in Verbindxing mit 
einem Steuervektor C2L. 

Dies ist die linke Halfte eines 128-Bit-*KKNI, einer partiellen 
Oder zwischengeschalteten beglaubigenden Form des Eingabe- 
Schiasselchiffrierschiassels *KK. Ein ^partieller' Beglaubi- 
gungsschliissel ist ein Beglaiibigungsschiassel ohne Offset. Bevor 
*KKNI als Beglaubigxingsschliissel fiir den Import oder Export von 
beglaubigten Schltisseln benutzt werden kann, muB ein Offset 
durchgeftihrt werden. Dies geschieht implizit durch ARTMK, ARFHK 
una AXLTKEY. 

e*KH.C2R(KKNIR) 64-Bit-KKNIR, chiffriert unter dem 

Hauptschiassel in Verbindung mit 
einem Steuervektor C2R. 
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Dies ist die rechte Halfte eines 128-Bit-*KKNI , einer partiellen 
Oder zwischengeschalteten beglaubigenden Form des Eingabe- 
Schliisselchif f rierscliiassels *KK. 

HINWEXS: Alle KEKs und alle partiellen Beglaubigungs-KEKs werden 
in der CA in l28-Bit:-Fona gespeichert. 

Beschreibung: Die ANSI-Beglaubigung ist ein Verfahren ziir Ver- 
siegelung von Schlusseln mit den Identitaten der beiden Kommuni- 
kationspartner , d,h. dem Sender und dem EmpfSnger der Schlussel. 
Beglaubigte SchlUssel k5nnen nur rekonstruiert werden, wenn der 
ursprQngliche Schlttsselchiffrierschiassel und die Identitaten 
der Kommunikationspartner bekannt sind. Ein DatenschlUssel oder 
ein Schiasselchiffrierschlussel kann vor der Obertragung beglau- 
bigt werden, indem er mit Hilfe eines Beglaubigungsschliissels 
(*)KN chiffriert wird. 

In ANSI wird (*)KN durch EXKLUSIV-ODER-Verknttpfung eines KEK 
(*)KK mit einem Beglaubigungssiegel NS gebildet, das aus der 
Identitat des Schiasselsenders , der Identitat des gewunschten 
SchltLsselempf angers und dem aktuellen Wert eines dem (*)KK zu- 
geordneten SchlusselnachrichtenzShlers gebildet wird. Es ist zu 
beachten, daB (*)KN fiXr jede Obertragiing neu berechnet werden 
muB, da der zahlerwert dynamisch ist, d.h. mit jeder Verwendung 
von (*)KK anwachst. 

In der CA wurde die Bildung von (*)KN in zwei separate Schritte 
aufgeteilt. Zuerst wird APNOTR aufgerufen, urn eine mit *KKNI 
bezeichnete Zwischenform von (*)KN zu berechnen, die gerade auf 
den statischen Werten von NS basiert, d.h. auf der Identitat des 
Senders, der Identitat des beabsichtigten Empf angers und (*)KK 
selbst. Der zweite Schritt, der sog. Of fset-Schritt , kombiniert 
*KKNI und den *KK zugeordneten aktuellen Zeigerwert zu (*)KN* 
Fiir diese Aufspaltiing in zwei getrennte Schritte gibt es zwei 
Griinde ; 
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1. Effizienz. Da (*)KN aus drei statischen Werten (den 
Identitaten der beiden Kommunikationspartner und (*)KK 
selbst) und nvir einem dynamischen Wert (dem ZShlerwert, der 
(*)KK zugeordnet: 1st:) zusammengesetzt: wird, besteh-t kelne 
Notwendigkeit, (*)KN bei jeder Aktualisierung des (*)KK- 
ZShlers komplett neu zu berechnen. Der ProzeB der Berech- 
nung von (*)KN kann deshalb In elne einmalig ausgefahrte 
Berechnung mit Hilfe der statischen Werte und eine einfa- 
chere wiederholte Berechnung mit Hilfe des dynamischen Wer- 
tes aufgespaltet werden. 

- 2. Transparenz. In ANSI mCissen alle KEKs, ob mit oder ohne 
Beglaubigung, einer Offset-Operation unterzogen werden, 
bevor sie zur Chiffrierung eines Schltissels (KD oder (*)KK) 
fiir die Obertragung benutzt werden konnen. Die Offset-Ope- 
ration wurde deshalb als implizite Operation in alle CA 
ANSI-Operationen integriert^ bei denen ein KEK zur Chiff- 
rierung Oder Dechif frierung eines anderen Schltissels be- 
nutzt wird, d*h. bei den Anweisungen ARTMK, ARFMK und AXLT- 
KEY. Durch die beschriebene Aufspaltung der (*)KN-Erzeugung 
wird die Beglaubigvmg fOr die Anweisungen ARTMK, ARFHK und 
AXLTKEY transparent. 

Mit APNOTR wird ein part lei ler Beglaubigungsschlttssel *KKNI fClr 
einen bestimmten KEK generiert. Partlelle Beglaubigungsschiassel 
werden verwendet, wenn ein beglaubigter Schliissel (KD oder 
(*)KK) durch ARTMK importiert, durch AXLTKEY umgewandelt oder 
durch ARFMK exportiert werden soil. Angenommen, ein Datenschliis- 
sel DKl soil von der Chiffrierung unter einem Offset-KEK *KK1 
unter die Beglaubigungsf orm eines anderen KEK, *KK2, umchiff- 
riert werden. In diesem Fall wird APNOTR mit *KK2 aufgerufen und 
identif iziert den Aufrufenden und' den beabsichtigten EmpfSnger, 
um *KKNI1, die partlelle beglaubigende Form von *KK2 zu erstel- 
len. *KK1 und *KKNI2 werden dann als Eingabe- bzw. Ausgabe-KEKs 
an AXLTKEY ubergeben. AXLTKEY fOhrt die Offset-Operation fUr 
*KK1 und *KKNI2 mit den entsprechenden zahlerwerten durch und 
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benutzt die so entstandenen KEKs^ um KDl intern zu rekonstruie- 
ren und fur die Ausgabe neu zu chif f rieren. (Es ist zu beachten, 
daB APNOTR n\ir einmal fur *KK2 aufgerufen werden lauB; *KKNI2 
konntie im Schliisselspeicher gespeichert sein, damit er spater 
benutzt: werden kann, wenn eine Beglaubigung erf orderlich ist. 
Bei diesein Schlttsselverwaltungskonzept bleibt es jedoch dem Be- 
treiber uberlassen, ob APNOTR dynamisch Oder far jeden (*)KK 
einmal ausgefOhrt werden soil.) Wird in diesein Beispiel keine 
Beglaubigung unter *KK2 benotigt, konnten *KK1 und *KK2 direkt 
an AXLTKEY (ibergeben worden sein, um die Of f set-Berechnung far 
KDl durchzufOhren und KDl zu rekonstruieren und neu zu chiffrie- 
ren. 

Die Offset-Operation ist bei der Verwendung aller ANSI KEKs iia- 
mer implizit enthalten. Deshalb ist die Of f set-Funktion in die 
Hardware eingebettet und wird von den Anweisungen ARTMK, ARFMK 
und AXLTKEY in der Chif friervorrichtung implizit ausgefahrt. 
Dadurch erabrigt sich eine separate Anweisung fOr die Offset- 
Funktion, und die Transparenz von Beglaubigungsschiasseln wird 
far diese Funktionen erhoht. APNOTR soil unter der Annahme, daB 
es einen separaten (*)KK gibt, der von zwei kommunizierenden 
Knoten geteilt wird, und daB die Knotenkennungen sich nicht an- 
dern, die Beglaubigungsleistung verbessern. 

Der Algorithmus zur Bildung von partiellen Beglaubigungs- 
schiasseln ist in Fig. 48 und Fig. 49 dargestellt. Der Algorith- 
mus soil die Schritte ausnutzen, die bei den Algorithmen far 
KEKs einfacher Lange bzw- far KEKs doppelter Lange gleich sind. 
Wenn der Eingabe-KEK und der ausgegebene partielle Beglaubi- 
gungs-KEK als 128-Bit-Schiassel behandelt werden, besteht der 
einzige Unterschied in der Berechnung der Werte NSl und NSr, die 
durch EXKLUSIV ODER-Verknapfung mit dem Eingabe-KEK den *KKNI 
ergeben. Der Modus-Parameter, der die tats£Lchliche Schiassellan- 
ge des Eingabe-KEK angibt, steuert die Berechnung von NSl und 
NSr. Ein Multiplexer wShlt vom Modus-Parameter gesteuert eine 
von zwei 32-Bit-Eingaben aus, die zur Erzeugung der rechten 
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Halfte von NSl benutat werden. Entsprechend wahlt ein Multiple- 
xer eine von zwei Eingaben aus, die zur Erzeugung der linken 
Halfte von NSr benutzt: wird- Dieser Auswahlprozefi ist in Fig. 49 
dargestelli:. Die Verwendung des Modus-Parauneters und der Multi- 
plexer ermdglicht die Bildung eines *KKNI, der nicht von der 
tatsSchlichen Schiasseliange des eingegebenen *KK abhdngig ist, 
und der mit dem in ANSI X9.17 definierten Beglaubigungsschiassel 
(nach dem Offset) Equivalent und mit anderen CA ANSI KEKs spei- 
cherkompatibel ist • 

Die Eingabe an APNOTR ist iramer ein 128-Bit-KEK; die Ausgabe ist 
immer 128 Bit lang. Wenn an APNOTR ein verdoppelter 64-Bit-KEK 
Qbergeben wird, muB der Modus-Parameter auf 1 gesetzt sein. AP- 
NOTR gibt dann einen verdoppelten 64 Bit langen partiellen Be- 
gla\ibig\ings-KEK aus. Die Werte in den Schltisself ormf eldern von 
ClL, CIR, C2L und C2R mUssen mit den Werden des Obergebenen Mo- 
dus-Parameters konsistent sein (siehe "SteuervektorprAf ung" ) • 
Partielle Beglaubigungsschiassel kdnnen nicht erneut als Einga- 
beschlussel an APNOTR fibergeben werden. Dieser Aspekt des 
Schiasselverwaltungskonzepts wird dadurch erzwungen, daB die 
Hardware die Steuervektoren CIL, CIR, C2L und C2R sowie die lin- 
ken und die rechten 64 Bit von *KKNI prttft, und wird einmal auf- 
gerufen, um einen partiellen Beglaubigungsschiassel zu erstel- 
len. Dies steht im Gegensatz zu anderen CA-Funktionen, bei denen 
far jede 64-Bit-Haifte eines 128-Bit-KEK ein separater 
Funktionsaufruf erforderlich ist. 

# CC: 

- 1. erfolgreiche Operation 

2. CIL Oder CIR ist ungaitig 

3. C2L Oder C2R ist ungaitig 

- 4. fehlgeschlagene Operation (Fehler). 

# Steuervektorpraf ung : 
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PrQfung auf CIL: 

CV-Art = " KEK/ANSI " 

APNOTR-Verwendungsbit = ' 1 ' 

SchltLsselform (CIL) = SchKisself orm (C2L) 

reserviert (48:63) = X'O' 

Prafung auf CIR: 



CV-Art 

APNOTR-Verwendungsbit 
SchlUsselform (CIR) 
reserviert: (48:63) 



"KEK/ANSI" 
'1' 

Schlusselform (C2R) 



Prilfung auf C2L: 

CV-Art = "KEK/ANSI" 

APNOTR-Verwendungsbit = ' 0 ' 

reserviert (48:63) = X'O' 



PrClfung auf C2R: 



CV-Art 

APNOTR-Verwendungsbit 
reserviert (48:63) 
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ANSI Umch iffrieren vom Haupt^nhliissel (ARFMKl 



- Gleichung: 



- Eingabe : 



e*KM.ClL(KKL) ,e*KM.ClR(KKR) , e*KM,C2(K), cntr, 
SchlClsselart, ClL, CIR, C2, (C3) 

= e*KKo(K), e*KM,C3(K) (Schiasselart = 0, Da- 
t:enschliissel ) 
Oder 

e*KKo(K) ( schlusselart = 1, KEK) 

e*KM.ClL(KKL) linke 64 Bits von *KK, als KKL 

bezeichnet, chiffriert unter dem 
Haup-tschliissel in Verbindung mil: 
einem Steuervektor CIL, *KK ist 
ein 128-Bit-Schlusselchif frier- 
schliissel Oder ein partieller 
Beglaubigungsschlussel • 



e*KM.ClR(KKR) rechte 64 Bits von *KK, als KKR 

bezeichnet, chiffriert vmter dem 
HauptschlQssel in Verbindung mit 
einem Steuervektor CIR. *KK ist 
ein 128-Bit-Schl<isselchif frier- 
schltissel Oder ein partieller 
BeglaubigungsschlCissel • 



HINWEIS: In der CA werden alle KEKs (einschlieBlich ANSI KEKs) 
in 128-Bit-Form, als linke und rechte 64-Bit-Schiasselteile, 
gespeichert. (64-Bit-KEKs werden zu 128 Bit verdoppelt. In die- 
sem Fall ist die linke und die rechte Schlusselhalf te iden- 
tisch. ) Der linke Teil von *KK wird unter dem Hauptschiassel in 
Verbindung mit einem linken Steuervektor chiffriert und im CKDS 
gespeichert, Entsprechend wird der rechte Teil von *KK unter dem 
Hauptschiassel in Verbindung mit einem rechten Steuervektor 
chiffriert und im CKDS gespeichert. Die Schlusself ormbits im 
Steuervektor unterscheiden zwischen linker und rechter HSlfte 
und zwischen 64- und 128-Bit-KEKs, 
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e*KM.C2(K) zu exportierender 64-Bit-ANSI-Schlus- 
sel K; K ist dreifach chiffriert un- 
-ter dem Haup1:schiassel in Verblndung 
mil: einem S'teuervek'bor C2. 

Dieser Schlussel kann ein Datenschliissel , ein 64-Bit-Schlussel- 
chiffrierschiassel Oder die linke Oder rechte H^lfte eines 128- 
Bit:->Schltisselchi£f r ierschiassels sein . 

cntr 64 Bit langer unchif frierter Sen- 

dezShlerwert, der dem Schltissel- 
chiffrierschliissel *KK zugeordnet 
ist. 

Dieser Wert wird gewohnlich zusaximien mit dem exportierten 
Schlttssel an den vorgesehenen EmpfSnger Ubertragen. Der EmpfSn- 
ger verwendet den empfangenen Zfihlerwert zur Erkennung von Wie- 
derholungen, zum Synchronisieren seines lokalen Empf£Uigsz£Uilers 
ftir *KK und zur Rekonstniktion des exportierten Schlussels, Lo- 
kale zahler werden vom CFAP mit Integritat verwaltet; 

Schiasselart Art des zu exportierenden SchlQs- 

sels 

HINWEIS: Ftlr Datenschltissel existieren zwei Pormen der chiff- 
rierten Ausgabe von ARFMK. Eine Form der Ausgabe ist fttr den 
Export an den vorgesehenen Empf&nger bestimmt; der Scbltissel 
wird xmter einer Offset-Form des angegebenen Schlttsselchif frier- 
schltissels chiffiert* Die andere Form kann entweder direkt fCbr 
MAC CSMs verwendet werden (wenn ein einzelner KD exportiert wer- 
den soli) Oder spater mit einem anderen solchen SchlUssel zu 
einem GSM MAC-SchlUssel kombiniert werden (wenn zwei KDs gleich- 
zeitig exportiert werden sollen) . Ztim Kombinieren dieser 'par- 
tiellen' MAC-Schlussel in einen CSM MAC-Schiassel wird die An- 
weisung ACOMBKD verwendet. 
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— 0: KD 

— 1: KK 

C1L,C1R 64-Bit-st:euervektoren fllr die linke bzw* 
rechte HSIf-te des Schiasselchif frier *- 
schlClssels Oder des partiellen Beglaubi- 
gungsschiassels *KK. 
C2 64-Bit-St:euervekt:or tilr den Eingabe- 

schlussel K. 
C3 64-Bit-S1:euervektor fur den CSM MAC- 

Schiassel Oder partiellen CSM MAC-Schltts- 
sel, der unter KM gespeicherb werden 
soli. Diese Eingabe ist nur fur Schltis- 
selart = 0 gultig. 
- Ausgaben: e*KKo(K) 64-Bit-Schiassel K, dreifach 

chiffriert unter dem Schiassel- 
chlf frierschldssel oder Beglau- 
bigungsschltissel *KKo, wobei *KKo 
der Schlussel *KK nach Offset mlt 
cntr ist, 

Ist *KK ein partieller Beglaubigungsschltissel , angegeben durch 
die Notation *KKNI, so ist *KKo ein BeglaubigungsschlUssel mit 
der Notation *KN, und K ist zu 'beglaubigen' . 

e*KH.C3(K) 64-Bit-DatenschlQssel K, dreifach chif- 
friert \inter dem Hauptschiassel KM in 
Verbindung mit einem Steuervektor C3. 

Diese Ausgabe ist nur filr Schltlsselart = 0 gtlltig. Sie wird ent- 
weder direkt far MAC CSMs oder mittels ACOHBKD mit einem anderen 
solchen Schiassel fQr MAC CSMs kombiniert. 

cntr 64 Bit langer unchif frier ter Sende- 

zShlerwert, der dem SchlCis- 
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sGlchif frierschliissel *KK zugeordnet 

Dleser .Werl: wird gewdhnllch zusanmen mlt dem export:iert:en 
SchlUssel an den vorgesehenen Empftoger Qbeirbragen. Der Empf^n-* 
ger verwendet den enpfangenen zahlerwert zur Erkennung von Wie- 
derholiingen, zum Synchronisieren seines lokalen Empf angszahlers 
far *KK und zur ReJconstsruJclilon des exportierten Schiassels. Lo- 
kale ZShler werden vom CFAP ml^ lntegrit:S1: verwal-tet:. 

Schlusselar'k Art: des zu expor^ierenden Schl^s- 

sels 

HXNWEXS; Ftir Dat:enschlQssel exisliieren zwei Formen der chiff- 
rlerlien Ausgabe von ARFMK. Eine Form der Ausgabe ist fUr den 
Export: an den vorgesehenen EmpfSnger bestlnuat:; der SchlCissel 
wird un-ber einer Offse't-Form des angegebenen Schlflsselchif frier* 
schltissels chiffiert. Die andere Form kann entweder direkt: far 
MAC CSMs verwendet: werden (wenn ein einzelner KD export iert: wer- 
den soil) Oder spSter mit einem anderen solctien Schlussel zu 
einem CSM KAC-SchlOssel kombiniert werden (wenn zwei KDs gleich- 
zeit:ig exportiert: werden sollen) • Zum Kombinieren dieser 'par- 
tiellen' HAC-Schiassel in einen CSM HAC-Schliissel wird die An- 
weisung ACOHBKD verwendet. 

— 0: KD 

— l: KK 

C1L,C1R 64-Bit-steuervekt:oren far die linke 

bzw. rechte HSlft:e des Schiassel- 
chiff rierschiassels oder des par- 
tiellen Beglaubigungsschiassels *KK« 

C2 64-Bit:-Steuervektor far den Eingabe- 

schiassel K* 
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C3 64"Bit-S1:euervektor fiir den CSM MAC- 

Schliissel Oder partlellen CSM MAC- 
SchlCLssel, der unt:er KM gespeichert: 
werden soil. Diese Eingabe ist: nur 
fCkr Schlfisselart = 0 gtlltig. 

- Ausgabe: e*KKo(K) 64-Bit-Schlussel K, dreifach chiff- 

riert unter dem Schiasselchif f rier- 
schlfissel Oder Beglaubigungsschliissel 
*KKo, wobei *KKo der Schltissel *KK 
nach Offset: mit: cnt:r ist. 

Ist *KK ein partieller Beglaubigungsschliissel, angegeben durch 
die Notation *KKNI, so ist *KKo ein Beglaubigungsschliissel mit 
der Notation *KN, und K ist zu 'beglaubigen' . 

e*KM.C3(K) 64-Bit-Datenschiassel K, dreifach chif- 
frlert unter dem HauptschlUssel KM in 
Verbindung mit elnem Steuervektor C3. 

Diese Ausgabe ist nur fCir Schiasselart = O gaitig. Sie wird ent- 
weder direkt ftir MAC CSMs Oder mittels ACOMBKD mit einem anderen 
solchen Schlttssel ftir MAC CSMs kombiniert. 

Beschreibung: Die Anweisung ARFMK chiffriert einen unter dem 
Hauptschltissel chiffrierten 64-Bit-Schiassel K unter einen 128- 
Bit-SchlQsselchif frierschlussel oder einen verdoppelten 64-Bit- 
Schiasselchiffrierschiassel *KK (den sog. Exportschiassel ) um. 
Ein 128-Bit-Schiassel K kann expoirtiert werden, indem ffir jede 
Hdlfte die Anweisung ARFMK aufgerufen wird; *KK muB in diesem 
Fall ein echter 128-Bit-KEK sein. Diese Regel wird durch die 
Hardware erzwungen (siehe "SteuervektorprCLf ung" ) . 

Mit ARFMK konnen Schllissel entweder in beglaubigter Oder in un- 
beglaubigter Form gem^B ANSI X9.17 exportiert werden. ANSI- 
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Schltissel kannen in nichtbeglaubigter Form exportiert warden, 
indem ARFMK mit einem Schlusselchif frierschliissel aufgerufen 
wird, den der Sender und der Empf anger besltzen. ARFMK fOhrt 
inliern eine Offset-Operation far den angegebenen Schltisselchif- 
frierschlussel durch. In beglaubigter Form kdnnen ANSI-Schlttssel 
exportiert werden, indem ARFMK mit der partiellen beglaxibigenden 
Form eines Schlttsselchif f rierschlussels aufgerufen wird, den 
sowohl der Sender als auch der EmpfSnger besitzen. ARFMK fOhrt 
intern eine Offset-Operation fur den angegebenen partiellen Be- 
glaubigungsschiassel durch, urn den Beglaubigungsschltissel zu 
erstellen. Partielle Beglaubigungsschltlssel werden mit der An- 
weisung APNOTR aus Schlfisselchif frierschlusseln gebildet. 

Angenommen, *KKab ist ein Schlusselchif frierschiassel , den die 
Knoten A und B besitzen, und *KKNIab ist ein partieller Be- 
glaubigungsschiassel , der durch APNOTR aus *KKab gebildet wurde. 
In diesem Fall kann der Schiassel K in unbeglaubigter Form von 
Knoten A nach Knoten B exportiert werden, indem ARFMK mit *KKab 
als Schiasselchif frierschltlssel aufgerufen wird. Der Schltissel K 
kann in beglaxibigter Form von A nach B exportiert werden, indem 
ARFMK mit *KKNIab als Schlttsselchif f rierschiassel aufgerufen 
wird. 

In ANSI X9. 17 konnen ein oder zwei KDs in einer einzigen CSM 
exportiert werden. Wenn nur ein einziger KD versendet wird, kann 
er schlieBlich entweder als Vertraulichkeitsschlussel oder als 
MAC-Schiassel benutzt werden. Die CSM selbst wird mit dem gesen- 
deten KD einer Identif ikationsOberprafung vmterzogen. Werden 
zwei KDs versendet, ist der erste KD ein MAC-Schiassel und der 
zweite ein Vertraulichkeitsschlussel. Die CSM wird einer Identi- 
f ikationsQberprufung durch EXKLUSIV-ODER-VerknUpfung der beiden 
KDs unterzogen. 

ARFMK unterstutzt die CSM-Identif ikationsuberprttf ung durch Aus- 
gabe exportierter Datenschlussel in zwei Formen. Die erste Form 
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des KD ist fiir den Export bestimmt, d.h. sie wird unter einer 
Offset-Form des angegebenen schlvisselchif f rierschltlssels chif- 
friert* Die zweite Form des KD kann lokal fur eine direkte MAC- 
Operation der CSM (wie beim Export eines einzelnen KD) veirwendet 
Oder mit einem anderen KD dieser Form zur Erstellung eines 
Schlttssels ftir die MAC-Operation der CSM kombiniert werden 
(durch EXKLUSIV ODER) • Die letztere Verwendung entspricht dem 
Fall, daB zwei KDs in einer einzigen CSM zusammengef aBt werden. 
Der Parameter C3 entscheidet, ob die zweite Ausgabeform ein MAC- 
Schiassel Oder ein 'partieller' MAC-Schltissel ist. Zum Kombinie- 
ren dieser 'partiellen' MAC-Schiassel in einen einzigen CSM MAC- 
Schliissel wird die Anweisung ACOMBKD verwendet. 

Fig. 50 ist das Blockdiagramm der Anweisung ARFMK. 

# CC: 

- 1. erfolgreiche Operation 

- 2. CIL Oder CIR ist ungaitig 

- 3. C2 ist ungultig 

- 4. fehlgeschlagene Operation (Fehler). 
§ Steuervektorprtif ung : 

- 1. PrUfung von CIL: 



CV-Art 

ARFMK-Verwendungsbit 
reserviert (48:63) 



"KEK/ANSI" 
'1' 



2. 



PrCfung von CIR: 



ARFMK-Verwendungsbit 
reserviert (48:63) 



CV-Art 



"KEK/ANSI" 
'1' 
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3. 



Priifung von C2: 



— CV-Art 

— Exportkontrollbit 1 

— Falls CV-Art 



"KEK/ANSI" Oder "Daten/ANSI" 
0 (RFMK zulSsslg) 
"Daten/ANSI", ist folgende 
Prafung durchzuf fUiren : 



— In Fig. 51 sind die zulassigen Kombinationen von zu prtt- 
fenden C2-Attributen aufgefOhrt. Alle nicht in der Teibel- 
le aufgefCUirten Kombinationen sind kryptographisch \ingiil- 
tig und deshalb nicht zulassig. E, D, HG, MV, ACMB sind 
die Verwendungsbits fiir den DatenschlUssel-Steuervektor. 

4* Priifung von C2 & C1L,C1R: 

— In Fig. 52 sind die zulassigen Kombinationen von C2-Art 
und -Schiasselform und SchlCLssel forma ttributen fOr ClL 
und ClR aufgefOhrt. Diese Attribute werden gepraft, \m 
die Trennung der beiden SchltisselhSlften zu erzwingen und 
um sicherzustellen, daB ein echter 128-Bit-KEK nur unter 
einem 128-Bit-KEK exportiert werden kann. Alle nicht in 
der Tabelle aufgefuhrten Kombinationen sind kryptogra- 
phisch ungtiltig und deshalb nicht zulSssig. 

5. Pr&fung von C3: 

— CV-Art = "Daten/ANSI" 

— reserviert (48:63) = X'O' 

— Exportkontrollbit 1 « 1 (kein Export) 

— In Fig. 53 sind die zulSssigen Kombinationen von zu pra- 
fenden C3-Attributen aufgefUhrt. Alle nicht in der Tabel- 
le aufgefCQirten Kombinationen sind kryptographisch ungtil- 
tig und deshalb nicht zulassig. E, D, HG, MV, ACMB sind 
die Verwendungsbits fCLr den Datenschiassel-Steuervektor . 
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ANST Umchiffrieren untier den Hauntschlussel fARTMK) 

- Gleichung: e*KM,ClL(KKL) ,e*KM.ClR(KKR) , e*KKo(K) , cntr, 

Schiasselairt, C1L,C1R,C2, (C3) 

e*KM«C2(K), e*KM.C3(K) (Schlttsselart = O, 
Dat:enschlfissel ) 
Oder 

e*KM.C2(K) (Schiasselart = 1, KEK) 

- Eingabe: e*KM.ClL(KKL) linke 64 Bits von *KK, als KKL 

bezeichnet:, chiffriert unter dem 
Hauptschliissel In Verblndung mit: 
einem Steuervekt:or CIL. 

*KK ist ein 128-Bit-Schlusselchif frierschltlssel Oder ein par- 
tieller Beglaubigungsschltissel • 

e*KM.ClR(KKR) rechte 64 Bits von *KK, als KKR 

bezeichnet, chiffriert unter dem 
Hauptschltissel in Verbindimg mit 
einem Steuervektor QXk. 

*KK ist ein 128-Bit-Schiasselchif f rierschlussel oder ein par- 
tieller Beglatibigungsschliissel . 

HINWEIS: In der CA werden alle KEKs (einschlieBlich ANSI KEKs) 
in 128-Bit-Form, als linke und rechte 64-Bit-Schlttsselteile, 
gespeichert. (64-Bit-KEKs werden zu 128 Bit verdoppelt. In die- 
sem Fall ist die linke und die rechte Schliisselhalf te iden- 
tisch. ) Der linke Teil von *KK wird unter dem HauptschlCLssel in 
Verbindung mit einem linken Steuervektor chiffriert und im CKDS 
gespeichert. Entsprechend wird der rechte Teil von *KK tmter dem 
Hauptschiassel in Verbindung mit einem rechten Steuervektor 
chiffriert und im CKDS gespeichert. Die Schltisselformbits im 
Steuervektor unterscheiden zwischen linker und rechter HSlfte 
und zwischen 64- und 128-Bit-KEKs. 
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e*KKo(K) 



2U importierender 64-Bit-ANSI-Schlus- 
sel K? K ist dreifach chiffriert un- 
ter dem Schlf&sselchlf frierschiassel 
Oder deia Beglaublgungsschlfissel *KKo, 
wobel *KKo der Schiassel *KK nach 
Offset: mlt cn'tr is'b. 



Ist *KK ein partieller BeglaubigvmgsschlOssel , angegeben durch 
die Notation *KKNI^ so ist *KKo ein Beglaubigungsschiassel mit 
der Notation *KN, und K ist zu beglaiibigen • Es ist zu beachten, 
daB wenn *KK ein verdoppelter 64-Bit-Schlussel ist, d.h. wenn 
*KK - KK//KK ist, e*KKo(K) Equivalent mit eKKo(K) , einem einfach 
unter einem Of fset-64-Bit-SchlQssel chiffrierten ANSI-Schlussel 
K, ist. 



Dieser Wert wird gewohnlich vom Sender ubermittelt und ist der 
Zahlerwert fUr den Offset von *KK vor der Chiffrierung von K. 
Cntr muB gemSB dem Z&hlerverwaltungskonzept nach ANSI X9.17 mit 
dem entsprechenden lokalen Empfangszfihler fttr *KK verglichen 
werden, bevor der empfangene Schliissel mit ARTMK importiert 
wird. Der Vergleichsschritt und der ARTMK-Auf ruf schritt mtissen 
im CFAP autark ausgefOhrt werden, damit die Integritat gewahrt 
bleibt. Die lokalen zahler werden vom CFAP mit Integritat ver- 
waltet • 



HINWEIS; Fttr DatenschlQssel existieren zwei Formen der chiff- 
rierten Ausgabe von ARFMK. Eine Form der Ausgabe ist fttr die 



cntr 



64 Bit langer unchif frierter Zah- 
lerwert, der dem Schlusselchif- 
frierschlttssel *KK zugeordnet 
ist. 



SchlUsselart 



Art des zu importierenden Schltts- 
sels 
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letztendliche Verwendung des import iert en Schliissels bestiramt. 
Die andere Form kann entweder direkt fur MAC CSMs verwendet war- 
den (wenn ein einzelner KD importiert werden soil) Oder spater 
mit einem anderen solchen Schlussel zu einem CSM MAC-Schlttssel 
kombiniert werden (wenn zwei KDs gleichzeitig importiert werden 
sollen). Zum Kombinieren dieser 'partiellen' MAC-Schltissel in 
einen CSM MAC-Schiassel wird die Anweisung ACOMBKD verwendet. 

— o: KD 

— 1: KK 

CIL^CIR 64-Bit-Steuervektoren fur die linke bzw. 

rechte Halfte des Schlusselchif frier- 
schlussels Oder des partiellen Beglaubi- 
gungsschldssels *KK . 
C2 64-Bit-Steuervektor ftir den SchlUssel 

der unter KM gespeichert werden soil. 

Dieser Steuervektor gibt den letztendlichen Verwendungszweck des 
importlerten Schiassels K an. 

C3 64-Bit-Steuervektor fur den CSM MAC- 

Schiassel Oder partiellen CSM MAC-Schltls- 
sel, der unter KM gespeichert werden 
soil. 

Diese Eingabe ist nur fur Schliisselart = 0 gaitig. 

- Ausgabe: e*KM.C2(K) empfangener 64-Bit-Schiassel K, drei- 

fach chif friert unter dem Haupt- 
schliissel KM in Verbindung mit einem 
Steuervektor C2. 
e*KM.C3(K) 64-Bit-Datenschiassel K, dreifach 

chif friert unter dem Hauptschlussel 
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KM in Verbindung lait einem Steuervek- 
tor C3. 

Diese Ausgabe ist nur fUr Schlflsselart = 0 gdltig. Sie wird ent- 
weder direkt: fiir MAC CSMs Oder mittels ACOMBKD mit einem anderen 
solchen Schiassel fUr KAC CSHs kombiniert. 

Beschreibung: Die Anweisung ARTMK chiffriert einen unter einem 
128-Bit-Schltisselchiffrierschiassel oder einem verdoppelten 64- 
Bit-Schlusselchiffrierschltissel *KK (dem sog. Importschiassel ) 
chiffrierten 64-Bit-Schiassel K unter den Hauptschiassel um. Bin 
128-Bit:-Schiassel K kann importiert werden, indem fOr jede Half- 
te die Anweisung ARTMK aufgerufen wlrd. 

Mit ARTMK k6nnen SchlUssel entweder in beglaubigter oder in un- 
beglaiibigter Form gemaS ANSI X9,17 importiert werden. ANSI- 
Schltissal kdnnen in nichtbeglaubigter Form importiert werden, 
indem ARTMK mit einem SchlOsselchiff rierschlQssel aufgerufen 
wird, den der Sender und der EmpfSnger besitzen. ARTMK fiihrt 
intern mit dem angegebenen Zahlerwert eine Offset-Operation fOr 
den angegebenen schiasselchif frierschiassel durch. In beglaubig- 
ter Form konnen ANSI-Schiassel importiert werden, indem ARTMK 
mit der partiellen beglaubigenden Form eines Schiasselchif frier- 
schiassels aufgerufen wird, den auch der Sender des SchlAssels 
besitzt. ARTMK ftlhrt intern mit dem angegebenen zahlerwert eine 
Offset-Operation fOr den angegebenen partiellen Beglaubigungs- 
schlussel durch, um den Beglaubigungsschlussel zu erstellen. 
Partielle Beglaubigungsschlussel werden mit der Anweisung APNOTR 
aus Schiasselchif frierschlttsseln gebildet. 

In ANSI X9.17 kdnnen ein oder zwei KDs in einer einzigen CSM 
exportiert werden. Wenn nur ein einziger KD elmpfangen wird, kann 
er schlieBlich entweder als Vertraulichkeitsschiassel oder als 
MAC-Schiassel benutzt werden. Die CSM selbst wird mit dem gesen- 
deten KD einer Identif ikationsaberprixfung unter zogen. Werden 
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zwei KDs eiapfangen, ist der erste KD ein MAC-Schiassel und der 
zwei-te ein Vertraulichkeitsschltlssel . Die CSM wird einer Identi- 
f ikat:ions€lberpra£ung durch EXKLUSIV-ODER-Verkntipfung der beiden 
KDs un^erzogen. 

ARTMK unterstutzt die CSM-Identif ikationsaberpruf ung durch Aus- 
gabe importierter Datenschltissel in zwei Formen. Die erste Form 
des KD ist fur den letztlichen Verwendungszweck bestiimat, d-h. 
je nach C2-Paraiaeter entweder als Vertraulichkeitsschiassel Oder 
als MAC-Schiassel • Die zweite Form des KD kann far eine direkte 
MAC-Operation der CSM (wie bei einem einzelnen KD) verwendet 
Oder mit einem anderen KD dieser Form zur Erstellung eines 
Schiassels far die MAC-Operation der CSM kombiniert werden 
(durch EXKIiUSIV ODER). Die letztere Verwendung entspricht dem 
Fall, daB zwei KDs in einer einzigen CSM zusammengefaBt werden. 
Der Parameter C3 entscheidet, ob die zweite Ausgabeform ein MAC- 
Schiassel Oder ein 'partieller' MAC-Schiassel ist. Zum Kombinie- 
ren dieser 'partiellen' MAC-Schiassel in einen einzigen CSM MAC- 
Schiassel wird die Anweisung ACOMBKD verwendet. 

Fig. 54 ist das Blockdiagramm der Anweisung ARTMK. 

# CC: 

- 1. erfolgreiche Operation 

- 2. Clli Oder CIR ist ungaitig 

- 3. C2 ist ungaitig 

- 4. C3 ist ungaitig 

- 5. fehlgeschlagene Operation (Fehler). 

# Steuervektorprafung: 

- 1. Prafung von CIL: 

— CV-Art = "KEK/ANSI" 
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'1' 
X'O' 



"KEK/ANSI" 



"KEK/ANSI" Oder "Daten/ANSI" 
'1' 

"Daten/ANSI", ist folgende 
Prdfung durchzuf iihren: 

— In Fig. 55 slnd die zuldssigen Kombina'bionen von zu pru- 
fenden C2-Att:ributen aufgeftihrt. Alle nicht in der Tabel- 
le aufgefiihrt:en Kombinationen sind kryptographisch ungai- 
tig vind deshalb nicht zulassig. E, D, MG, MV, ACMB sind 
die Verwendungsbits tHr den Datenschlvlssel-Steuervektor • 

- 4. Prafung von C2 & C1L,C1R; 

— In Fig. 56 sind die zulSssigen Kombinationen von C2«-Art: 
und -SchlQsselform und Schliisself ormattributen far CIL 
und CIR aufgefvihrt. Diese Attribute werden gepruft, im 
die Trenn\ing der beiden SchltLsselhalften zu erzwingen und 
um sicherzustellen, daB ein echter 128-Bit-KEK nur \inter 
einem 128-Bit-KEK import iert werden kann. Alle nicht in 
der Tabelle aufgefOhrten Kombinationen sind kryptogra- 
phisch ungtLltig und deshalb nicht zuiassig. 

- 5. Prafung von C3: 
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— ARTMK-Verwendungsbit 

— reserviert (48:63) 

2. Prtifung von CIR: 

— CV-Art 

— ARTMK-Verwendungsbit 

— reserviert (48:63) 

3. Prdfung von C2: 

— CV-Art 

— ARTMK-Verwendungsbit 

— Falls CV-Art 
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— CV-Art = "Daten/ANSI" 

— reserviert (48:63) = X'O' 

— Exportkontrollbit 1 = l (kein Export) 

— In Fig. 57 sind die zulassigen Kombinationen von zu prii- 
fenden C3-Att:ributen aufgefuhrt. Alle nicht in der Tabel- 
le aufgefOhrten Kombinationen sind kryptographisch ungtil- 
tig und deshalb nicht zulSssig. MG, MV, ACMB sind 
die Veirwendungsbits fCb: den DatenschlUssel-Steuervektor . 

ANSI gcfrj[,Qsse3, wnvanqgXn (^xltkby) 

- Gleichung: e*KM.ClL(KKlL) , e*KM.ClR(KKlR) , e*KM»C2L(KK2L) ^ 

e*KM.C2R(KK2R) , e*KKlo( ( * )Ko (KDmac) ) , cntrl , 
cntr2, Schltisselart , C1L,C1R, C2L,C2R, C3 
=== E*KK2o(K), e*KM.C3(K) ( Schlttsselart = 0, KD) 
Oder 

e*KK2o((*K), e*KM.C3(KD2aac) ( SchlUsselart = 1, 
KEK) 

- Eingabe: e*KH.ClIj(KKlL) linke 64 Bit von *KK1, bezeichnet 

als KKIL^ chiffriert unter dem 
Hauptschltlssel in Verbindung lait 
einem Steuervektor CIL. 

"""KKl ist ein 128 Bit langer KEK Oder partieller Beglaubigungs- 
KEK. 

e*KM.ClR(KKlR) rechte 64 Bit von *KK1, bezeich- 
net als KKIR, chiffriert unter 
dero Hauptschltissel in Verbindung 
mit einem Steuervektor CIR. 

*KK1 ist ein 128 Bit langer KEK Oder partieller Beglaubigungs- 
KEK. 
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HINWEIS: *KK1 wird durch Offset mit dem Zahlerwert cntrl intern 
zu *KKlo, dem Eingabe-Scliiasselchif frierschiassel. Wird der xim- 
zuwandelnde Schiassel in beglaubigter Form eingegeben, miiB *KK1 
ein partieller Beglatibigungsschiassel mit der Notation *KKNI1 
sein, der mit der Anweisung APNOTR erstellt wird. *KKlo ist in 
diesem Fall ein Beglavibigungsschliissel • 



*KK2 ist ein 128 Bit langer KEK Oder partieller Beglaubigungs- 
KEK. 



*KK2 ist ein 128 Bit langer KEK Oder partieller Beglaxibigxxngs- 
KEK. 

HINWEIS: *KK2 wird durch Offset mit dem zahlerwert cntr2 intern 
zu *KK2o, dem Ausgabe-Schiasselchif f rierschlussel. Wird der urn- 
zuwandelnde Schiassel in beglaubigter Form eingegeben, muB *KK2 
ein partieller Beglaubigungsschlussel mit der Notation *KKNI2 
sein, der mit der Anweisung APNOTR erstellt wird. *KKlo ist in 
diesem Fall ein Beglaubigungsschlussel. 



e*KM.C2L(KK2L) 



linXe 64 Bit von *KK2, bezeichnet 
als KK2L, chiffriert unter dem 
HauptschlUssel in Verbindung mit 
einem Steuervektor C2L. 



e*KM,C2R(KK2R) 



rechte 64 Bit von *KK2, bezeich- 
net als KK2R, Chiffriert unter 
dem Hauptschldssel in Verbindung 
mit einem Steuervektor C2R. 



e*KKlo((*)K) 



umzuwandelnder 64 oder 128 Bit 
langer ANSI-Schlussel (KD oder 
KEK) mit der Bezeichnung (*)K. 
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(*)K ist dreifach chiffriert unter *KKlo, wobei *KKlo einem Off- 
set mit cntrl tinterzogen wurde. 



cntrl 



Wenn (*)K 128 Bit lang ist, d.h. wenn 
i* = Kl//Kr ist, wird dieser Parame- 
ter als e*KKlo(Kl)//e*KKlo(Kr) ein- 
gegeben. Andernfalls, wenn (*)K nur 
64 Bit lang ist, wird dieser Parame- 
ter als e*KKlo(K) eingegeben. 



e(*)Ko(KDmac) optionaler 64 Bit langer HAC- 

Schldssel KDmac, chiffriert unter 
(K)Ko; d.h., einfach chiffriert 
unter einem 64-Bit-K mit Offset 
durch Null, Oder dreifach chif- 
friert unter einem 128-Bit-*K mit 
Offset durch Null. 

In diesem Fall, wenn (*)Ko = (*)K ist, ist e(*)Ko(KDmac) = 
e(*)K(KDmac) . KDmac ist ein temporSrer MAC-SchlUssel , der in 
ANSI X9.17 zur Identif ikationstiberprafung von Chif f rierservice- 
Meldungen (CSM) in einem Schiasselurawandlungszentrum (KTC) be- 
nutzt wird. Ein KDmac begleltet immer eine CSH-Anforderung zur 
Umwandlung eines KEK im KTC. Eine CSM-Anforderung zur Umwandlting 
von KDs wird nicht von einem KDmac begleitet, da die Daten- 
schiassel selber als MAC-SchlQssel zur Identif ikationsuberpra- 
fung der CSMs vom bzw. an das KTC benutzt werden. Dieser Parame- 
ter ist deshalb nur fOr Schlusselart = 1 gtiltig, d.h., wenn (*)K 
ein KEK ist. 



cntrl 



64 Bit langer unchif frierter zahler- 
wert, der dem Schlflsselchif frier- 
schiassel *KK1 zugeordnet ist. 
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Dieser Wert wird gewohnlich vom Sender abermittelt und ist der 
ZShlerwert ftir den Offset von *KK1 vor der Chif frierung von 
(*)K. cntrl muB gemaB dem zahlerverwaltungskonzept nach ANSI 
X9.17 mit dem entsprechenden lokalen Empfangsz Shier ftir *KK ver- 
gllchen werden, bevor der empfangene Schliissel mit AXLTKEY umge- 
wandelt wird, Der Vergleichsschritt und der AXLTKEY-Auf ruf schr- 
itt mussen im CFAP autark ausgefuhrt werden, damit die Integri- 
tat gewahrt bleibt. KEK-Z^ler werden vom CFAP mit Integritat 
verwaltet. 

cntr2 64 Bit langer unchif f rierter Sende- 

zShlerwert, der dem Schiasselchif f- 
rierschliissel *KK2 zugeordnet ist. 

Dieser Wert wird gewdhnlich zusammen mit dem umgewandelten Schl- 
{issel an den vorgesehenen Empf anger tibermittelt. Der Empf finger 
verwendet den empf angenen Zfihlerwert zur Erkennung von Wiederho- 
Ivingen, zum Synchronisieren seines lokalen Empf angszfihlers ftir 
*KK2 und zur Rekonstruktion des umgewandelten Schliissels. Lokale 
Zfihler werden vom CFAP mit Integritfit verwaltet. 

Schltisselart Art des umzuwandelnden Schliissels 

— 0: KD 

— 1: (*)KK, d.h. 64- Oder 128-Bit-KEK 

C1L,C1R 64-Bit-Steuervektoren fUr die linke bzw. 

rechte Hdlfte des Eingabe-Schlfisselchif- 
frierschltissels Oder partiellen Beglaubi- 
gungsschlQssels • 

C2L,C2R 64-Bit-Steuervektoren fiir die linke bzw. 

rechte Hfilfte des Ausgabe- 
Schliisselchif f rierschlussels oder par- 
tiellen BeglaubigungsschlUssels • 
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C3 64-Bit-SteuervGktor fur den CSM MAC- 

Schiassel Oder partiellen MAC-Schiassel , 
der wter KM gespeichert: werden soil* 

soli ein einziger KEK Oder genau ein einziger KD umgewandelt: 
werden, muB C3 die MACGEN- und MACVER-Attribute enthalten. Sol- 
len zwei KDs lungewandell: werden, muB C3 das ACOMBKD-Attribut: 
en-thalten, tun elnen 'part:iellen' MAC-Schliissel zu ersliellen. Far 
die Umwandlung von zwei KDs sind zwei AXLTKEY-Auf ruf e erforder- 
lich. Die beiden so erzeugten par1:iellen MAC-Schlussel konnen 
mit der Anweisung ACOMBKD zu einem CSM MAC-Schiassel mit MACGEN- 
und MACVER-Attributen kombiniert werden. 

Ausgabe: e*KK2o((*)K) 64- Oder 128-Bi1:-Schiassel (*)K, 

dreifach chiffriert un-ter *KK2o, ist 
der Ausgabe-Schliisselchif frierschias- 
sel *KK2 mxt. Offset durch Zahlerwert 
cnt:r2 . 

Wenn Schiasselart = O ist, ist (*)K ein 64-Bit-Datensclilussel 
(d.h. (*)K=K), und dieser Parameter wird mit e*KK2o(*) be- 
zeichnet. (*) wird von *KKlo in *KK2o umgewandelt. 

e*KM.C3(K) 64 Bit langer MAC-Schiassel Oder par- 

tieller MAC-Schltissel , der mit dem 
umgewandelten Datenschlussel K iden- 
tisch ist, dreifach chiffriert unter 
dem Hauptschlussel in Verbindung mit 
einem Steuervektor C3. 

Diese Ausgabe ist nur gultig, wenn ein KD umgewandelt wird, 
d.h., wenn SchlOsselart = 0 ist. In ANSI X9.17 wird ein umzuwan- 
delnder KD auch zur Identif ikationsOberpruf ung der Chif f rierser- 
vice-Meldungen an das bzw. vom KTC benutzt. Soil nur ein einzi- 
ger KD umgewandelt werden, so ist der KD selber der MAC-Schl(is- 
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sel. In dieseia Fall ist e*KM.C3(K) genau der KD, K, in einer 
Form, die von GMAC und VMAC direkt fiXr CSM MAC-Opera1:ionen ver- 
wende-b werden kann. Sollen zwei KDs iimgewandelt werden, wird der 
MAC-Schiassel durch EXKLUSIV-ODER-Verknttpf ung der beiden KDs 
gebildet. In diesem Fall muB AXLTKEY zweimal aufgerufen werden, 
naiQlich fQr jeden KD einmal. e*KM.C3(K) von jedem Aufruf ist 
dann ein partieller MAC-Schlussel . Die beiden partiellen MAC- 
Schiassel k5nnen xnit der Anweisung ACOMBKD zu einem SchlUssel 
kombiniert werden, der von GMAC und VMAC direkt fttr die CSM MAC- 
Operation benutzt werden kann. 

e*KM.C3(KDiaac) 64 Bit langer MAC-Schltissel KDxaac, 

dreifach chif friert unter dem Haupt- 
schiassel in Verbindung mit einem 
Steuervektor C3. 

Diese Ausgabe ist nur bei der Umwandlung eines KEK gtiltig, d.h. 
wenn Schiasselart = 1 ist. In ANSI X9-17 wird KDmac zur Identi- 
f ikationsaberprtifung von CSMs vom bzw. an das KTC verwendet. 

Beschreibung: Die Anweisung AXLTKEY chif friert einen unter dem 
Offset-Schiasselchif frierschltissel *KK1 chiffrierten 64- oder 
128-Bit-Schlussel (*)K unter einen Of f set-Schltisselchif frier- 
scliiassel *KK2 um. Neben der Of f set-Funktion untersttttzt AXLTKEY 
die Umwandlung von bzw. in beglaubigte Schlusselformen. Wenn 
(*)K in beglaubigter Form eingegeben wird, muB *KK1 ein partiel- 
ler Beglaubigungsschlussel sein. Entsprechend muB *KK2 ein par- 
tieller Beglaubigungsschlussel sein, wenn (*)K in beglaubigter 
Form ausgegeben werden soil. Partielle BeglaubigungsschlQssel 
werden durch die Anweisung APNOTR aus KEKs gebildet. 

AXLTKEY erzeugt auch eine sekundSre Ausgabe: einen MAC-Schiassel 
Oder einen MAC-Schiasselteil , der zur Identif ikationsuberpriif ung 
von Chif f rierservice-Meldungen zwischen der Stelle, die die Um- 
wandlung anfordert, und dem KTC, verwendet werden kann. Die Bil- 
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dung des M^C-Schiassels wird durch den Schltisselari:-Paraxaet:er 
gestieuert . 

Bei Schlusselart = 1, d.h. KEK-Umwandlung , wird der MAC- 
Schlussel der Anweisung als optionaler Parameter KDmac, chiff- 
riert unter dem KEK selbst (Offset durch 0), Obergeben. AXLTKEY 
rekonstruiert KDmac intern und gibt ihn unter KM im Verbindung 
init einem durch den Parameter C3 angegebenen Steuervektor neu 
chiffriert aus. C3 wird typischerweise mit GMAC- und VHAC-Ver- 
wendungsattributen angegeben; die Hardware erzwingt, daB kein 
Export zugelassen wird. 

Bei Schlusselart = 0, d.h. KD-Umwandlung , basiert der MAC- 
Schiassel auf den umzuwandelnden KDs. AXLTKEY rekonstruiert den 
KD intern und gibt in unter KM mit durch C3 festgelegten Attri- 
buten chiffriert aus. Soil genau ein KD umgewandelt werden, ist 
KD selbst der MAC-Schiassel , und C3 wird typischerweise mit 
GMAC- und VMAC-Verwendungsattributen angegeben. Auch hier er- 
zwingt die Hardware eine Exportkontrolle. Wenn zwei KDs, KDl und 
KD2 umgewandelt werden sollen, muB AXLTKEY zweimal aufgerufen 
werden; der MAC-SchlUssel ist KDl XOR KD2, und C3 muB mit 
ACOMBKD-Attributen angegeben werden. Die erzeugten MAC-Schlfls- 
selteile e*KM.C3(KDl) und e*(KM.C3(KD2) konnen dann an die An- 
weisung ACOMBKD Obergeben werden, die sie intern rekonstruiezrt 
und den erf order lichen MAC-Schiassel e*KM.CxKDl XOR KD2) 
er zeugt • 

Fig. 58 und 59 sind Blockdiagramme der Anweisung AXLTKEY. 

Die Anweisung AXLTKEY wird in der KTC-Umgebung gemSB ANSI X9.17 
verwendet. Sie unterstutzt die Verarbeitung der Seirviceanf orde- 
r\ings-CSM (RFS-CSM) und die Generierung der entsprechenden An- 
forder\ingsantwort-CSM (RTR-CSM) . Die RFS kann eine der folgenden 
Umwandlungsanf orderungen en thai ten : 
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- Einen Datenschltissel KDl umwandeln; fur MAC dieser CSMs KDl 
benutzen. 

- Zwei Da1:enschia5sel KDl, KD2 umwandeln; fOr MAC dieser CSMs 
(KDl XOR KD2) benutzen. 

- Elnen KK oder *KK umwandeln; elngegebenen KDxnac fiir MAC die- 
ser CSM benutzen. 

Wenn nur eln DatenschlQssel KDl umgewandelt werden lauB, wandelt 
AXLTKEY den Schldssel um und gibt e*KM.C3(KDl) aus, das zur Obe- 
rprdfung des MAC In der RFS und zur Generierung elnes MAC tilr 
die betre£fende RTR benutzt werden kann. 

Mussen zwei DatenschlOssel KDl und KD2 uiugewandelt werden, wird 
die AXLTKEY-Funktion zweimal aufgerufen. Sie generiert 
e*KM«C3(KDl) und e*KM.C3(KD2) als Zwischenausgaben in den beiden 
Aufrufen. Das CFAP ruft dann ACOMBKD auf , um die beiden Ausgaben 
zu einem MAC-Schlussel e*KM.CS(KDl XOR KD2) zu kombinieren , der 
fOr die MAC-Operation der RFS- und RTR-CSMs benutzt werden kann. 
Die von AXLTKEY generierten Zwischenausgaben konnen nur lokal 
ohne Exportberechtigung benutzt werden; dies wird durch die 
Steuervektorpriif ung erzwungen . 

MuB ein (*)KK uiagew€uidelt werden, so wandelt die AXLTKEY-Funk- 
tion den Schiassel um und gibt e*KM.C3(KDinac) aus, das fttr die 
MACint-Operation der CSMs benutzt werden kann. KDmac begleitet 
den umzuwandelnden (*)KK in der RFS; er wird unter dem (*)KK mit 
Offset durch Null chiffriert. Es ist zu beachten, daB 
e*KM.C3 (KDmac) nur lokal verwendet werden kann; die Exportkon- 
trolle wird durch die Steuervektorprtifung in der Anweisung er- 
zwungen. 

# CC: 

- 1. erfolgreiche Operation 

- 2. CIL Oder CIR ist ungttltig 
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- 3, C2L Oder C2R ist ungaitig 

- 4. C3 ist ungxiltig 

- 5. fehlgeschlagene Operation (Fehler) 
# steuervekt:6rprafung: 

- !• Priifung von ClLs 



CV-Art 

AXTiTKEY-Verwendungsblt 
reserviert (48:63) 



"KEK/ANSI" 
X'O' 



- 2. Priifung von CIR: 



— CV-Art 

— AXLTKEY-Verwendungsbit 

— reservlert (48:63) 



"KEK/ANSI" 

'1' 

X'O' 



- 3. Prtifung von C2L: 



— CV-Art 

— AXLTKEY-Verwendtingsbit 

— reserviert (48:63) 



"KEK/ANSI" 



- 4. Prtifung von C2R: 



— CV-Art 

— AXIiTKEY-Verwendungsbit 

— reserviert (48:63) 



"KEK/ANSI" 

'1' 

X'O' 



- 5. PrQfung von CIL und C2L: 



— Schliisselfona (CIL) 



Schlusselform (C2Ii) 



- 6. Priifung von CIR und C2R: 
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— Schlusselform (CIR) = Schlusselforin (C2R) 



7. Pfttfxing von C3: 

— Schltisselart = "Datenschiassel" 

— Exportkontrollbit 1 =1 (kein Export) 

In Fig. 60 sind die zulSssigen Kombinationen von zu prCl- 

fenden C3-At:tributen aufgefCUirt. Alle nicht in der Tabel- 
le aufgefCkhrten Koxnbinationen sind kryptographisch iingtil- 
tig und deshalb nicht zulassig- E, D, MG, MV, ACMB sind 
die Verwendungsbits fOr den Datenschlussel-Steuervektor . 



ANSI KD^ KQffibini^ren (acqmbkd) 



Gleichung: e*KM.Cl(KDl), e*KM.C2(KD2) , CI, C2, C3 

e*KM,C3(KD) 

Eingabe: e*KM.Cl(KDl) 64 Bit langer ANSI-Datenschltis- 

sel, dreifach chiffriert unter 
dem Hauptschliissel KH in Verbin- 
dung mit eineia Steuervektor CI. 
e*KM.C2(KD2) 64 Bit langer ANSI-Datenschias- 

sel, dreifach chiffriert unter 
dem Hauptschltissel KM in Verbin- 
dung mit einem Steuervektor C2. 
CI 64-Bit-Steuervektor fUr den Da- 

tenschlQssel KDl* ^ 
C2 64-Bit-Steuervektor fOr den Da- 

tenschiassel KD2. 
C3 64-Bit-Steuervektor ftir den Aus- 

gabe-MAC-Schltissel KD. 
Ausgabe: e*KM.C3(KD) 64 Bit langer ANSI-Dateiischias- 

sel, dreifach chiffriert unter 
dem Hauptschliissel in Verbindung 
lait dem Steuervektor C3 . 
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Dieser Schlussel kann zur identif ikationsuberprtif ung einer Chif- 
frierservice-Meldung gemSB ANSI X9.17 laittels der Anweisungen 
GMAC und VMAC benutzl: werden. 

Beschreibung: In ANSI X9.17 werden SchlQssel ausge-tausch-t , indem 
die Paritaten mittels einer Folge von Chif f rierservice-Meldungen 
(CSMs) ^ermi't'tel't werden. Bei jedem Schliisselaus1:auscli werden 
ein Oder zwei Dat:enschltlssel tiber1:ragen . Die Jn'tegri'tSt: bes^imm- 
ter CSMs wird geschtitzt:, indem eine MAC-Operation mit: der CSM 
und den Dat:en selber durchgefOhrt wird, oder beim Aus-tausch von 
zwei Da'tenschlCLsseln , indem die beiden KDs durch EXKLUSIV ODER 
verkniipft werden. Die Anweisung ACOMBKD betrifft den letzteren 
Fall, d.h. die Berechnung eines CSM MAC-Schltissels aus zwei Da- 
lienschiasseln • 

ACOMBKD akzep-tiert: zwei 'partielle' MAC-Schltissel , d.h., Daten- 
schliissel, die unter dem Hauptschiassel in Verbindung mit: einem 
Steuervektor chiffriert sind, welcher ihre Verwendung in ACOMBKD 
erlaubt:. Partielle MAC-SchlQssel werden als opt:ionales Nebenpro- 
dukt: beim Import: oder Expor't von ANSI-Dat:ensclil€Lsseln durch 
ARTMK bzw. ARFMK erstellt. 

ACOMBKD rekonstruiert: die Datienschlfissel KDl und KD2 intiem und 
gibt: (KDl XOR KD2), chiffriert unter dem Hauptschiassel in Ver- 
bindung mit einem Steuervektor, welcher die lokale Schltisselbe- 
nutzung in den Anweisungen GMAC oder VMAC erlaubt, aus. Mit die- 
sen Anweisungen konnen ankommende und abgehende CSMs einer Iden- 
tif ikationsuberprCif ung imterzogen werden, wie sie vom CSM-Proto- 
koll gemSB ANSI X9.17 gefordert wird. 

HINWEIS: ACOMBKD mu6 tUderprUfen, daB die Eingabe-KDs nicht iden- 
tisch Oder Equivalent sind, und daB (KDl XOR KD2) nicht gleich 
Null ist. Dadurch soil die Erstellung einem MAC-Schlussels mit 
einem bekannten Wert (nSmlioh Null) verhindert werden. 
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Fig. 61 ist das Blockdiagramia fOr die Anweisung ACOMBKD. 

# CC: 

- 1- erfolgreiche Operation 
2. CI ist ungiiltig 

- 3. C2 ist ungultig 

- 4, C3 ist ungaitig 

- 5. fehlgeschlagene Operation (Fehler) 

# SteuervektorprUfimg: 

- 1. Prafung von Cl: 

— CV-Art « "Daten/ANSI" 

— ACMB-Verwendungsbit = 'i/ 

— reserviert (48:63) ^ x'O' 

In Fig, 62 sind die zulSssigen Koiabinationen von zu prti- 

fenden Cl-Attributen aufgefiihrt. Alle nicht in der Tabel- 
le aufgeftUirten Kombinationen sind kryptographisch ungtll- 
tig und deshalb nicht zul^ssig. MG, KV, ACME sind 

die Verwendungsbits fiir den Datenschlttssel-steuervektor. 

2. Prafung von C2: 

— CV-Art = "Daten/ANSI" 

— ACMB-Verwendungsbit = 'i' 

— reserviert (48:63) - X'O' 

Fig. 63 sind die zulassigen Kombinationen von zu pril- 
fenden C2-Attributen aufgefuhrt. Alle nicht in der Tabel- 
le aufgefGhrten Kombinationen sind kryptographisch ungul- 
tig und deshalb nicht zulSssig. MG, MV, ACMB sind 
die Verwendungsbits fUr den Datenschlttssel-steuervektor. 
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- 3, Prilfung von C3: 

— Schltisselart = "Daten/ANSI" 

— Exportkontrollbit l = i (kein Export) 

— reserviert (48:63) = X'O' 

In Fig. 64 sind die zulSssigen Kombinationen von zu prQ- 

fenden C3-Attributen aufgefahrt. Alle nicht in der Tabel- 
le aufgefuhrten Kombinationen sind kryptographisch ungttl- 
tig und deshalb nicht zuldssig. E, D, MG, MV, ACMB sind 
die Verwendungsbits fCbr den Datenschlussel-Steuervektor • 

ICV/QCV-Veywa T t-ting 

Bin einleitender Kettungswert (ICV) ist ein 64 Bit langer zufSl- 

liger, pseudozufailiger oder memchmal auch sich nicht wiederho- 

lender Wert, der in Verbindung mit dem Chif f reblockkettimgs-Mo- 

dus (CBC-Modus) des DEA und einigen Algorithmen zur Berechnung 

von Meldungs-Identifikationstiberprflfungscodes (MACs) verwendet 
wird . 

Bei der ICV-Verwaltung gibt es Optionen fOr die elektronische 
Obertragimg xind die lokale Speicherung sowohl von unchiff rierten 
als auch von chif f rierten ICVs. Die chif f rierten ICVs massen 
allerdings zuerst dechiffriert warden, bevor sie als Eingabepa- 
rameter fttr eine der Chif f rierfunktionen verwendet werden k5n- 
nen« 

Ein Ausgabekettungswert (OCV) ist ein 64-Bit-Wert, der unter 
bestiiamten Bedingungen von den Chif frieranweisungen GMAC und 
VMAC ausgegeben wird. Die gleiche Chif frieranweisung wird noch 
einmal aufgerufen, xind der OCV wird als ICV Obergeben. Der OCV 
ist immer in der Form eKM.CV(OCV) chiffriert, wobei CV ein Steu- 
ervektor fur einen Zwischen-ICV ist. Bei der Anweisung VMAC ist 
ein chiffrierter OCV aus SicherheitsgrOnden unbedingt erforder- 
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lich, Ein unchiffrierter OCV kSnnte in diesem Fall MACs offenle- 
gen« Bel der Anweisung VMAC sollte das nicht rndgllch sein. Ein 
chiffrierter OCV ist auch fQr die Anweisung 6MAC definiert:. Da- 
bei werden die Anweisungen GMAC und VMAC soweit wie xnoglich an- 
einander angeglichen, so daB eine Funk'tionsUberschneidung in der 
Hardware maglich wird. 



ICV"Verwalt:una auflerhalb der Chif f r iervorrichtung 

Die Obert:ragtingsarchit:ektur laBt die folgenden drei Modi der 
elek^ronischen tlbertragung von ICVs zu: 



1. Unchiffrierter ICV: wird im Klartext Ubertragen. 

2. Chiffrierter ICV: wird mit einem Datenschlussel (KD) 
chiffriert, den der Sender mit dem Einpf anger teilt. 

3. Privates Protokoll: der ICV wird mittels eines privaten 
Protokolls von Sender und Empf anger erstellt. 



Unter der CA muB das CFAP sowohl unchif f rierte als auch chif f- 
rierte ICVs verarbeiten. Anwendungen konnen aber auch ihre eige- 
nen chiffrierten ICVs selber verwalten und dem CFAP unchif frier- 
te ICVs ubergeben, um diese fOr die Obertragung zu chiffrieren 
und alle von anderen Knoten ankommenden chiffrierten ICVs zu 
dechif frieren. Das Verschliisselungsprogramm kann wahlweise auch 
ICVs mittels eines privaten Protokolls erstellen. 

ICV-Verwaltuna innerhalb der Chif f riervorrichtung 

Ftlr die elektronische Verteilung von ICVs werden keine Steuer- 
vektoren verwendet; der Steuervektor enthSlt auch keine Bits, 
die von der Chif f riervorrichtung (Hardware) zur Steueriing der 
ICV- Verteilung herangezogen werden konnen. Der ICV- Vertei lungs- 
modus wird durch die Chif f riervorrichtung weder gepriift noch 
erzwungen. Die ICV-Verwaltung ist also strenggenommen eine Funk- 
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tion des Verschlusselungsprogranuns (d.h. der Software aufierhalb 
der Chif f riervorrichtung) . 

Alle iCVs, die der Chif f riervorrichtung als EingedDeparameter tixr 
eine Chif frierfunkt ion libergeben werden, laiissen \inchif f riert 
sein. ICV = o, eine Forderung der Anweisiingen GMAC und VMAC, ist 
nxir ein Unterfall eines unchif f rierten ICV. Bei den betroffenen 
Chif frierfunktionen handelt es sich um: 

- 1. Chiffrierung 

- 2. Dechif f rierung 

- 3 . MAC-Generierung 

- 4. MAC-Uberpriifung 

- 5. Uiawandlung von Chiffretext 

Schiasselver waltuna 

Die CA-Schlusselverwaltung ximfaBt eine Reihe von Verfahren, Re- 
geln und Prozeduren zur Verwaltung von Schliisseln durch ef fek- 
tive Verwendung des Anweisungssatzes und anderer Bestandteile 
der Chif f riervorrichtung (z.B. Schlusselladevorrichtung, Regi- 
ster usw • ) • 

Der Chif f rierarchitektur liegt die Absicht zugrunde, daB die 
Schiassel verwaltung mittels der angegebenen Chif frierfunktionen 
auf die festgelegte Art und Weise durchgefahrt wird. Dadurch 
wird sichergestellt, daB Systeme, in denen die gleiche Chiff- 
rierarchitektur implementiert ist, nach dem gleichen Verfahren 
miteinander konununizieren konnen* Im folgenden werden einige 
Merkiaale der CA-SchlQsselverwaltung aufgeftihrt. 

- Die Schliissel verwaltung basiert auf dem Steuervektorkonzept, 
das neben anderen Vorteilen, ein inachtiges Instrument zur 
Erzwingung des Verwendungszwecks von Schliisseln bietet, um 
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sicherzus-tellen, dafi die Schltissel ge^trennt; und bes-kliomungs- 
gemdfi verwendet warden. 

- In einem System intern folgt die Schlilsselverwaltung einem 
durch die Chif f riervorrichtung erzwungenen Zwei-Hierarchie- 
ebenen-Konzept: Nxir der Hauptschlussel wird unchiffriert in- 
nerhalb der physisch geschiitzten Chif f riervorrichtung gespei- 
chert. Die anderen Schlfissel werden unter einem Chif frier- 
schlUssel, der durch EXKLUSXV-ODER-Verknapfung des Haupt- 
schlCkssels mit einem dem Schltissel zugeordneten Steuervektor 
gebildet wird, chiffriert und konnen auBerhalb der Chif frier- 
vorrichtung gespeichert werden. AuBerhalb der Chif f riervor- 
richtung sind keine unchif f rierten SchlUssel zul&ssig. 

- Hinsichtlich der Kommunikation existiert bei der SchlCLssel- 
verwaltung eine dreistufige Hierarchie, die vom CFAP (dem CF- 
Zugrif f sprogramm) erzwungen wird: der HauptschlCLssel wird zum 
Chiffrieren von Schlusselchif f rierschltisseln benutzt, und 
Schiasselchif f rierschltissel , die die beteiligten Knoten ge- 
meinsam besitzen, werden zvim Chiffrieren anderer zwischen 
ihnen ausgetauschter SchlUssel verwendet. 

- Sie umfaBt Prozeduren zur Initial isierung von SchlHsseln im 
System und in Netzwerken. 

- Sie umfaBt Prozeduren zur Generierung, Verteilung, tJbermitt- 
lung und Speicherung von Schiasseln. 

- Sie umfaBt Obertragungsprotokolle fiir die Obermittlung von 
SchlClsseln und Steuervektoren von einem Knoten an einen ande- 
ren. 

Aufbauprinzip der CA-Schltisselverwaltuna 
Steuervektorsystem 
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£in St:euervektorsyst:em ist: eln Chlf frier system, in dem die CA 
implementiiert ist:. 

Speicheruna der SchlQssel und der VerschlGsselunasvariablen 

Alle Schliissel werden in der Form eKM.C(K) gespeichert, d.h. sie 
sind unter einem Schlussel chiffriert, der durch EXKLUSIV-ODER- 
Verknapfung des Haupt:schlt&ssels mil: einem Steuervektor gebildet: 
wird. Zwischen-ICVs fOr KACs sowie Tokens werden ebenso chiff- 
riert. 

Schiasselarten und VerschlQsselunasvariablenartien 

Im CV-Art/Unterarfc-Peld im Steuervektor wird angegeben, welche 
Art von Schiassel oder Verschiasselungsvariablen chiffriert 
wird* In der CA sind dreizehn CV-Arten/Unterarten definiert: 

- CV-Art/Unterart 

— Daten/Vertraulichkeit 

— Daten/HAC 

— Daten/XLT 

— Daten/Kompatibilitat: 

— Daten/ANSI 

— KEK/Sender 

— KEK/Empfanger 

— KEK/ANSI 

— PIN/Chiffrierung 

— PIN/Generierung 

— ICV/Zwischen-HAC 

— Schlusselteil/ 

— Token/ 

Die CV-Arten/Unterarten lassen sich in drei Kategorien unter- 
gliedem: 
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1. CA: deflniert: Schlfissel, die nur mit anderen CA-Systemen 
getieilt: werden. 

2. Kompa-bibilitial:: definlert SchlUssel, die ml'b anderen CA* 
Oder Nicht-CA-Systemen geteilt werden. 

3. ANSI: definiert Schiassel, die gemaB deia ANSI X9.17- 
SchlQsselveriieilungsprotiokoll gesendet bzw. empfangen 
werden. 



Ka1:egorie CV-Art/Unterart 

CA Dat.en /Ver t r aul ichke it: 

Daten/MAC 
Dat:en/XLT 
KEK/Sender 
KEK/Empf anger 
KEK/ANSI 
PIN/Chiffrieren 
PIN/Generieren 
ICV/Zwischen-MAC 
Schiasselteil/ 
Token/ 

Kompatibilitat Daten/Kompat ibi 1 itat 

ANSI Daten/ANSI 

KEK/ANSI 

SchlQgse3.hi^yaygftjle 

- !• Hauptschiassel : chiffriert alle Schiassel, die lokal au- 

Berhalb der Chif f riervorrichtung gespeichert werden. 

- 2. Schiasselchif f rierschiassel : chiffriert alle Schliissel 

(aufier dem HauptschlCLssel) , die von einer Chif f r-iervor- 
richtxing an eine andere abenait:t:elt werden. 

- 3. Da-tenschliissel : chiffriert Daten und ICVs. 

- 4. PIN-Chif f rierschlQssel : chiffriert PIN-Biacke. 
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SchlQssel vertex lunas protiokQ lie 
Die CA unterstutzt: drei Schltisselverteilungsprotokolle: 

- 1. Steuervektonaodus (CV)- Alle ubertragenen SchlUssel haben 

die Form eKEK.C(K). 

- 2. Kompatibilitdtsmodus (CV = 0). Alle iibertragenen SchlQs- 

sel haben die Form eKEK(K) . 

- 3. ANSI X9.17-Modus (ANSI). Alle Obertragenen Schldssel ent- 

sprechen dem ANSI-standard X9.17. 

Schlusselverteilunasreaeln 

Far die Verteilung (Export/Import) von Schiasseln und Verschltis- 
selungsvariablen gilt ein Satz von Regeln, die die Schlusselka* 
tegorien folgendermaBen zu den Verteilxingsprotokollen in Bezie- 
hung setzen: 

- 1. CA-Schiassel und CA-VerschlUsselungsvariable miissen im 

Steuervektormodus exportiert bzw. importiert werden. 

- 2. Kompatibilitatsschiassel konnen entweder im Steuervektor- 

modus (unter Verwendimg des Steuervektors bei der Ober- 
tragung) oder im KompatibilitStsmodus (mit cv = 0 bei der 
Obertragung) exportiert bzw, importiert werden« 
3. ANSI-Schiassel mussen im ANSI X9.17-Modus exportiert bzw. 
importiert werden. 

Diese Regeln sind in der nachstehenden Tabelle zusammengef aSt : 
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Kategorie CV-Art/Unterart Schiasselvertei- 

lungsprotokoll 

~ CV CV=0 ANSI 

CA Daten/Vertraulichkeit 

Daten/MAC j 

Daten/XLT j 

KEK/Sender j 

KEK/Empf anger j 

KEK/ANSI j 

PIN/Chiffrieren j 

PIN/Generleren j 

ICV/Zwischen-MAC j 

Schliisselteil/ j 

Token/ j 

Kompatibilitat Daten/Kompatibilitat j j 

ANSI Daten/ANSI j 

KEK/ANSI j 

Legende: "j" bedeutet, daB die Variable nach dem be-tref f enden 
Schlusselverteilungsprotokoll verteilt werden kann. 

SchlQsselsiiatius rnichi: ANSI^ 

In der CA sind drei Schlfisselstat:us definlert:: 

- 1, Lokal: Der Schlussel wird unter KM chiffiert, d.h. in 

einer ftlr die lokale Benui:zung geeignetien Form. 

- 2. Export: Der Schliissel wird unter einexa KEK/Sender chif- 

friert, d.ti. in einer ftir den Export an ein anderes GerSt 
geeigneten Form. 

- 3. Import: Der Schlussel wird unter einem KEK/Empf anger 

chif friert, d*h. in einer ftir den Import auf diesem Gerat 
geeigneten Form. 
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SchXtt^gelqepeyjerung 

* 1. Jedem von einem St:euervekt:orsyste]u generier1:en SchlUssel 
ist ein Steuervektor zugeordnet. 

- 2. Schiassel kdnnen je nach Art/Unterart des zur Chiffrie- 

riing des generleirten SchlUssels vez:wendet:en Steuervektors 
a) im lokalen S'tat:us, b) im Exportstatus Oder c) im Iia- 
por-ts-ba-tus generiexrt werden (Punkt: G in dieser Liste) • 

- 3 • Schlflssel werden mit den Anweisungen. 6KS und K6EN gene- 

r iert . 

GKS generiert elnen SchlUssel in zwei Formen unter Verwendung 
von zwei Steuervektoren . Die CV-Art/Unterart muB bei beiden zu 
der CA-Kat:egorie gehoren. (Ein Schltissel kann nicht gleichzeitig 
einer CA-Kategorie und einer Kompatibilitatskategorie angeho- 
ren.) KGEN generierh einen Schltissel in einer einzigen Form \in- 
ter Verwendung eines Steuervektors der CA-Kategorie Oder der 
Kompatibilitatskategorie • 

SQhiasselstatusumwandlunqen (nicht ANSI^ 

Folgende Schiasselstatustuawandlungen (durch die angegebenen An- 
weisungen) werden von der CA unterstCltzt: 



Eingabestatus Ausgabestatus 

Lokal Import Export 

Lokal - - RFMK 

Import RTMK - XLTKEY 

Export — _ 

Legende: bedeutet, daB die betreffende Umwandlung nicht un- 

ter stQtzt wird. 
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Anweisunasfolaen fQy die schlQ gselverwaltuna 

In den Tabellen Fig. 65, 6S, 67 und 68 sind die CA-Funktionen 
aufgefuhrt, die fur die Schliisselverwaltung verwendet werden 
kdnnen. Ausfuhrliche Beschreibungen sind den nachfolgenden Ab- 
schni-tten zu en-tnehmen • 

SchKisselstatus und Anweisunaen 

In Fig. 69 ist: die Beziehung zwischen lokalen, export:iert:en und 
iiaportierten Schltisseln und die Moglichkeiten zu ihrer Erstel- 
lung Oder Uiawandlung durch verschiedene Anweisungen in der Chif- 
friervorrichtung aufgefuhrt. 

Bin lokaler Schliissel wird im Schlusselspeicher gespeichert: und 
kann als Eingabeparame-ter fCLr Chif frieranweisungen verwendet: 
werden. Er hat die Fona eKM.C(K), wobei KM der in der Chiffrier- 
vorrichtung gespeicherte Hauptschlussel und C der dem Schiassel 
K zugeordnete Steuervektor ist. Ein Exportschliissel ist ein lo- 
kaler SchlUssel, der einen Kanal ftir die fibennittlung von 
Schll&sseln an ein anderes System definiert. Ein Importschlilssel 
ist ein lokaler Schliissel, der einen Kanal ftir den Empfang von 
Schltisseln von einem anderen oder dem eigenen System definiert. 
Ein exportierter Schlussel ist ein SchlUssel der Form eKEK.C(K), 
wobei KEK ein KEK/Sender und C der dem Schlussel K zugeordnete 
Steuervektor ist. Ein importierter SchlCissel ist ein Schltlssel 
der Form eKEK.C(K), wobei KEK ein KEK/Empf Snger und C der dem 
Schltissel K zugeordnete Steuervektor ist. 

RFMK wandelt einen lokalen Schltissel in einen exportierten 
Schltissel um. RTMK wandelt einen importierten Schltissel in einen 
lokalen Schltissel um. KGEN generiert eine Form eines lokalen 
Schltissels. XLTKEY wandelt einen importierten Schltissel in einen 
exportierten Schltissel um. GKS generiert einen Schltissel in der 
Kegel in zwei Formen, die unterschiedliche Verwendungsattribute 
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aufweisen k6nnen. GKS op-op generiert einen Schiassel in den 
zwex Por»en "lokal" and "exportiert" . GKS OP-IM generiert einen 
SchlUssel in den zwei Formen "lokal" und "i»portiert-. GKS IM-EX 
gener.ert einen SchlOssel in den zwei For^en "i^portiert" u^d 

Formen "exportiert" und "exportiert" . 

ifeeppAcht flbpr die gr.tTT'' ^sselar i-or^ 
Die CA-Anweisung arbeitet n.i1: folgenden SchlOsselarten: 
- 1. SchiasselchiffrierschlQssel 

Diese schltlssel werden zum Chiffrieren anderer SchlQssel ver- 
wendet. Der Hauptschiassel , Mehrdomanenscniussel und Tenni- 
nalhauptschlOssel sind Schltisselchif f rierschiassel . Alle 

K6ni!n"'°f f" ^"^'^"^^ ^^^^ Hauptschiassels 
iconnen xn folgende Unterarten eingeteilt werden: 

~ SchlQsselchiffrierschiassel Sender (KEK/Sender) ; ein 

schltlssel, der benotigt wird, u» SchlQssel an andere Kno> 
ten zu senden. 



- Schiasselchif f rierschltlssel Empf anger (KEK/Empf anger) : 
exn schiassel, der benStigt wird, um Schltlssel von ande- 
ren Knoten zu empfangen. 

~ ANSI-schlOsselchiff rierschltlssel (KEK/ANSI): ein Schltls- 
sel, der in der SchlQsselverwaltungsumgebung gemaB ANSI 
X9.17 benutzt wird. Der ANSI KEK ist nicht richtungsge- 
bunden wie ein regulSrer ca-kek (d.h. KEK/Sender hzw. 
KEK/Empf anger) . 

~ Hauptschltlssel - Der HauptschlUssel dient zum Schutz al- 
ler anderen Schltlssel in System. 
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Nur der Hauptschliissel muB unchiffriert innerhalb der ge- 
6chut:z1:en Chif frieirvorrichtung gespelchert: werden. Die anderen 
Schiassel sind mittels Chif frierung diirch EXKLUSIV-ODER-VerknQp- 
fung des Hauptschltissels mit einem dem Schiassel zugeordneten 
Steuervektor geschutzt. Da sie chiffriert sind, kdnnen sie in 
Speicherbereichen au&erhalb der Chif friervorrichtung gespeicherl: 
werden. 

Die CA fordert, daB der Hauptschltissel doppelte Ldnge, d.h. 128 
Bit:, besi-tz-t, von denen 112 Bit: den eigent:lichen Wert: dars'kellen 
und 16 Bit: Paritatsbit:s sind. 

— MehrdoiaanenschlQssel - Die Schliisselverwaltung verlangt: 
einen eindeut:igen Schlxissel doppelter LSnge mit Parit:at: 
(jeweils 128 Bit:), der mit jedem CV-Knoten geteilt wird, 
mit dem kommuniziert werden soli. 

Dies gilt auch fQr Nicht-CV-Systemknoten , wo bei Systemen mit 
Schliisseln einfacher LSLnge ein SchlQssel doppelter Lange so ge- 
speichert wird, daB die linke und die rechte Halfte identisch 
sind. Die HehrdomanenschltLssel werden zum Chiffrieren (oder Ver- 
senden) und Abrufen von Schlfisseln benutzt, die zwischen Knoten 
ausgetauscht werden, welche die MehrdomSnenschltissel gemeinscun 
besitzen. 

— Terminalhauptschltissel - Die SchlCisselverwaltung verlangt 
einen eindeutigen TerminalhauptschlUssel , den alle Termi- 
nals besitzen, mit denen kommuniziert werden soli. 

In Terminals, bei denen Schiassel nur gesendet, aber nicht emp- 
fangen werden mUssen, wird gewohnlich nur ein Terminalhaupt- 
schlUssel einfacher Lange (64 Bit) gespeichert. In diesen Fallen 
wird der Schliissel doppelter LSnge im Schltisselspeicher gespei- 
chert, wobei die rechte und die linke Schlusselhalf te identisch 
sind. 
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In den Fallen, in denen im Terminal ein SchlUssel doppelter Lan- 
ge gespeichert: wird, wird dieser unverandert im Schlusselspei- 
Cher gespeichert. 

- 2. Da-tenschlCLssei - Datenschltissel werden zum Chiffrieren 

von Daten benut:zt:, Identif ikationsaberpraf ungsschiassel / 
DateischlOssel und SitzungsschlUssel gehoren in diese 
Ka1:egorie . 

- 3. PIN-SchlUssel - PIN-Schltissel werden in zwei Unterarten 

einge-teil-t: 

— PIN-Chif f rierschltlssel : diese Schltissel werden zum Chif- 
frieren von PINs benutzt. 

— PIN-Generierungsschiassel: diese SchlUssel werden im PIN- 
Generierungsalgorithmen zur Generierung von PINs benutzt. 



- 4. SchlQsselteil - Ein SchlUsselteil ist ein Teil oder eine 

Komponente eines Schiassels, besitzt aber die gleiche 
L^nge wie ein SchlUssel. Beispiel: ein Schlussel K kann 
aus zwei SchlQsselteilen Ka und Kb bestehen, fur die gilt 
Ka XOR Kb = K. 

- 5. Zwischen-ICV - Ein Zwischen-ICV wird zum Chiffrieren des 

Zwischen-Ausgabekettungsvektors eines Daten- Oder Mel- 
dungssegments benutzt. 



Dieser OCV wird dann als ICV an das nachste Datensegment aber- 
geben. Dies geschieht, wenn eine Heldung oder ein Datensegment, 
tHr die bzw. das ein HAC generiert oder fiberpraft werden soil, 
zu lang ist und in kUrzere Segmente unterteilt werden muB. 

- 6. Token - Tokens sind Variable zum Schutz der Integritat 
der in der Datenschltisseldatei (einem Schiasselspeicher 
fiir Datenschlussel ) gespeicherten Datenschliissel . 
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Die tLragen dazu bei, den Zugriff nicht berechtiger Benutzer auf 
Dat:enschiassel zu verhindern. 

SgftlAgse]Lj,nj.t:A^3.j.slerupq 

Im folgenden werden die Schiasselini-tialisierungsmechanismen 
beschr ieben • 

Bei der Systeminstallation muB der Hauptschltissel als erster 
Schiassel installiert werden. Anschliefiend Kdnnen einige 
Schiasselchiffrierschiassel wie z.B. HehrdomSnenschltissel Oder 
Transportschlussel manuell installiert werden. Sobald die 
Mehrdomanenschiassel verfugbar sind, kann das System Schltissel 
und chiffrierte Daten mit anderen Systemen austauschen. 

Der Hauptschltissel und andere SchlGsselchif frierschltissel mUssen 
unter geeigneten Zugangskontrollen manuell installiert werden. 

Die Schltisseleingabevorrichtung, Ober die der Schiassel in die 
Chif f riervorrichtung eingegeben wird^ muB eine sichetre 
Schnittstelle zur Chif f rieirvorrichtung besitzen wie z.B. die 
Anzeige (falls sie nicht Bestandteil der Schlilsseleingabevor- 
richtvmg ist). Darauf wird ixn Abschnitt dber physische Einrich- 
tungen und Schnittstellen eingegangen. 

Wenn ein HauptschlCissel oder ein anderer Schiasselchif frier- 
schltissel manuell installiert werden muB, ist eine Doppeleingabe 
wunschenswert, die darauf abzielt^ keiner Einzelperson die veil- 
stSndige Kenntnis der Schiassel zu ermdglichen. Bei der Doppel- 
eingabe wird der Schiassel in zwei Teilen eingegeben. Alle 
Schiasselteile haben die gleiche Ltoge und werden von verschie- 
denen Personen eingegeben. Der tatsachliche Schiassel wird durch 
EXKLUSIV-ODER-Verknapfung der beiden Schiasselteile gebildet. 
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Die CA tuiterstiitzt auch eine Mehrf ach-Schlilsseleingabe (d.h. , 
wenn ein Schliissel mehr als zwei SchlOsselteile besitzty der 
SchlQssel kann z-B- n Schiasselteile KPl, KP2,... KPn besitzen, 
wobei K = KPl XOR KP2 ... XOR KPn ist) . 

Wenn bei einem System eine Doppeleingabe erforderlich ist, miis- 
sen die Schliisselladevorrichtvmg und andere Einrichtungen der 
Chiffriervorrichtung so gestaltet sein, daB sie dies xinterstQt- 
zen. Es sollten beispielsweise zwei physische Schl6sser (Oder 
ein SchloB, bei dem fClr zwei Positionen zwei verschiedene 
Schiassel benatigt werden) vorhanden sind, damit jeder Schias- 
selteil separat eingegeben werden kann. Im Systemen ohne physi- 
sche SchlQssel kSnnen PaBwSrter verwendet werden, wobei fiir je- 
den Schiasselteil ein anderes PaBwort eingegeben werden muB. Bei 
der Eingabe eines Schliissels oder eines Schlttsselteils darf die 
Eingabe nur durch die eingebende Person visuell ttberprflft werden 
kdnnen. Wenn diese Person festgestellt hat, daB die Anzeige mit 
der Eingabe Qbereinstinuat, kann sie das Laden des Schlussels 
Oder Schiasselteils in Register innerhalb der chiffriervorrich- 
tung aktivieren (z.B. mittels einer Taste, die die Schnittstelle 
zwischen der Schliisseleingabevorrichtiang und den Schlttsselregi- 
stem bildet). Jeder einzugebende Schlttssel Oder SchlOsselteil 
muB doppelte LSnge einschlieBlich ungerader 16-Bit-Paritat auf- 
weisen. Die Peiritat dient der Fehlererkennung. . 

HpnuftUft TClnaabe des HaUPtSCh3 . ftS8g?.g 

Die CA gibt kein spezielles Verfahren zur manuellen Installation 
des HauptschlQssels vor. Das im vorliegenden Abschnitt skizzier- 
te Verfahren ist als Richtlinie aufzufassen. Es wird empfoblen, 
den eingegebenen Hauptschlttssel temporar in ieinem Register f Qr 
den neuen HauptschlQssel zu speichern und erst dann zu aktivie- 
ren, wenn die Funktion "Hauptschltissel setzen" aufgerufen wird. 



MA9-88-011 



- 201 - 



Bei dieser strategie kann der eingegebene HauptschlCissel ttber- 
prttft und gegebenenfalls neu eingegeben werden, und der einge- 
gebene Hauptschiassel muB nicht aktiviert: werden, solange nicht 
festst^eht:, daB er korrekt ist und alle Verarbeitungsanf orderun- 
gen wle z.B. die Umchif f rierung anderer schliissel vom aktuellen 
Haupt:schiassel unt:er den neuen HauptschlUssel erfQllt sind. 

Im Rahmen der manuellen Eing£d3e des Haup-tschlCLssels muB an der 
physischen Schnittstelle und/oder an der Programmierschnittstel- 
le ein 32 Oder 64 Bit langes nicht geheimes Prttf muster (Funktio- 
nieren des eingegebenen Hauptschliissels ) ausgegeben werden. Al- 
temativ kann das Prufmuster als Antwort auf den Aufruf einer 
Anweisung durch ein Schltisselinstallations-Dienstprogramia er- 
zeugt werden. Das PrUf muster ist in Umgebungen nUtzlich, in de- 
nen die Sicherheit nicht gew^rleistet ist, wenn ein eingegebe- 
ner SchlQssel zur Oberprafung durch den Benutzer auf einem Bild- 
schirm oder einer Konsole angezeigt wird. Spezielle Prfifverfah- 
ren sind nicht Gegenstand dieses Dokuments. 

Die manuelle SchlUsseleingabe (des HauptschlUssels oder der 
Schiasselchiffrierschliissel) kann implementiert werden, indem 
eine Tastatur iXber eine physisch sichere Schnittstelle an die CF 
angeschlossen wird. Urn die Fiinktion zum Laden der Ober die Ta- 
statur eingebenen Schltissel zu aktivieren oder deaktivieren, 
kann ein physischer Schlilsselschalter und/oder eine PaBwortkon- 
trolle verwendet werden. 

Aktivieruna des Hauptschltlssels 

Ein eingegebener Hauptschlflssel wird aktiviert, indem die 
Funktion "Hauptschiassel setzen" aufgerufen wird. Dies bewirkt, 
daB der Inhalt des Registers, in dem der neue Hauptschlussel 
gespeichert ist, in das Hauptschlusselregister (d.h- das Regi- 
ster fur den aktuellen Hauptschlttssel ) geladen wird. 
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Die CA ermaglicht wahlweise die Verwendung eines Registers fur 
den alten HauptschlQssel . In diesexn Fall bewirkt die Fiinktion 
''Hauptschiassel setzen" zuerst, da6 der Inhalt des Haupt- 
schlusselregisters in das Register fttr den alten Hauptschltissel 
geladen wird^ und dann, daB der Inhalt des Registers far den 
neuen Hauptschiassel in das Hauptschlusselregister geladen wird. 

Jedem Hauptschiasselregister (fiir den neuen, den aktuellen und 
wahlweise fOr den alten Hauptschiassel) ist eine Markierung zu- 
gewiesen, das gesetzt wird (= 1)^ wenn ein Schiassel aktiv in 
dem Register gespeichert wurde, und das zurackgesetzt wird ( = 
0), sobald ein Schiassel deaktiviert oder die Chif f riervorrich- 
tung nach dem Abschalten wieder eingeschaltet wird. 

Schlusselinst allation uber die Programiaschnittstelle 

Schiassel k5nnen auch aber die Programaschnittstelle installiert 
werden. Dazu ist jedoch eine manuelle Intervention durch einen 
Sicherheitsbeauftragen (oder Urheber) , der aber den physischen 
Schiassel Oder die far den Zugriff erf order lichen PaBw5rter ver- 
fagt, erf order lich. Bei diesem Verfahren andert der Benutzer den 
Arbeitsstatus der Chif friervorrichtung mit Hilfe des physischen 
SchlOssels (Oder PaBworts) in einen Status, der als Extras icher- 
Hodus bezeichnet wird, und gibt dann einen unchif frierten 
Schlussel und den zugeh5rigen Steuervektor in die Anweisung EMK 
ein, die nur in diesem Modus ausgefOhrt werden kann. Die Funk- 
tion EMK chiffriert den Klartextschiassel unter einem Schiassel, 
der durch EXKLUSIV-ODER-Verknapfung des Hauptschiassels mit dem 
Steuervektor gebildet wird. Der chiffrierte Schiassel und der 
Steuervektor werden zur Verwendung im System gespeichert. 

Voraeschlaaene Reaeln far Setzen. Prafen und Erzwingen unge- 
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Jeder kurze Schlussel besteht aus 64 Bit, die konventionsgeiaaB 
von 0 bis 63 durchnumeriert werden, wobei Bit 0 das h5chstwer- 
tige Bit ist. Die Paritatsbits sind Bit 7, Bit 15, Bit 23, Bit 
31, Bit 39, Bit 47, Bit 55 und Bit 63, wobei Bit 7 das Paritats- 
bit fQr die SchlQsselbits 0 bis 6 ist Tind Bit 15 das Paritatsbit 
fiir die Schlusselbits 8 bis 14 usw. 

Setzen unaerader Schl iisselparitat 

Alle in das System importierten Nicht-Datenschltissel mCLssen un- 
gerade Pari tat haben. Dazu zahlen der Hauptschlttssel und alle 
chiffrierten und im SchlUsselspeicher gespeicherten 
Schlusselchif frierschlilssel, PIN-Chif f rierschlUssel und PIN-Ge- 
nerierungsschltissel . 

In alien generierten SchlUssel wird ungerade Paritat gesetzt, 
auBer wenn es sich um einen Schltissel handelt, der als Zu- 
fallszahl generiert und als bereits unter einem anderen 
Schliissel chiffrierter gewanschter schlUssel definiert wird. 

Priifen der Sc hltlsselparitat 

Bevor die Chif friervorrichtung einen Schliissel benutzt, muB sie 
prQfen, ob der Schltissel ungerade Paritat besitzt, Es sollten 
Bedingiingscodes gesetzt werden, die angeben, ob der Schiassel 
ungerade Paritat besitzt Oder nicht. Das CFAP luuB entscheiden, 
ob das Nichtvorhandensein ungerader Paritat ein Fehler ist, und 
ob die Ausgabe einer angeforderten Funktion nit den betreffenden 
Schliissel vertrauenswQrdig ist oder nicht. 

Erzwinaen unaerader SchlQsselparitat durch die Hardware 

Die Hardweure muB beim Hauptschiassel ungerade Paritat erzwingen. 
Wird ein Paritats fehler festgestellt , muB die angeforderte Chif- 
frieranweisung abgebrochen werden. Die Hardware sollte einen 
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Wiederherstel lungs versuch un-ternehiaen (z.B. mit elner Siche- 
rungskopie des HauptschlUssels) und elnen Bedingungscode setzen, 
der darauf hinweisi:, daB ein nicht behebbarer Parita-tsfehler ixn 
Haupt:schlClssel au£get:ret:en is't. 

In bestimmten ausgewahlten Fallen kann ein Paritatsf ehler bei 
einem SchlQsselchlf f rierschlilssel Oder einem anderen Nicht-Da- 
tenschiassel bewirken, daB eine angeforderte Chif f rierfunktion 
abgebrochen wird. 

SchlQsselqenerierunq 

Schlfissel sollten zuf allsmaBlg generiert warden. Dies impliziert 
einen Zuf allszahlengenerator in Form einer speziellen Hardware, 
Oder es wird eine Sof-tware-Implemenliiening eines akzeptiablen 
Algorit:hmus zur elektronischen Generierung von Schlusseln bend- 
tigt. Schiassel kdnnen auch manuell in zufallsmSBiger Weise ge- 
neriert; werden, z.B. durch Werfen einer MCLnze. Die Schldssel 
kdnnen bei der Generierung mit einer Paritat versehen Oder ohne 
Paritat erzeug-t werden. Wenn eine Paritat gewunscht: wird, mussen 
die Schlussel ungerade Paritat besitzen. 

Manuel le Schliisselaen erieruna 

Die CA empfiehl-t, Hauptschlussel und Schltisselchif frierschlfissel 
manuell zu installieren und zu generieren. Ein geeignetes Ver- 
fahren fiir die manuelle Generierung von Schliisseln ist das Wer- 
fen einer Miinze oder das Wurfeln. Eine Moglichkeit:, Schliissel 
durch war f ein zu erzeugen, k5nnt:e beispielsweise folgendermaBen 
aussehen : 

Der zust:andige Kurier oder Sicherheitsbeauftragte wahlt achi: 16- 
seitige Wiirfel ohne Vorzugsseite aus und ordnet jeder Wurfelsei- 
te eine Zahl von O bis 15 als Hexadezimalwert zu. Angenommen, 
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Seit^e 1 hat den Weirt 0, dann liat Selte 16 den Wert F usw. Dann 
warden folgende Schrltte ausgeffihrt: 

- 1. WCbrfeln (auf einer festen, ebenen Oberflache) und die 

Ergebnisse in 8 Hexadezimalziffern notieren. 

- 2. Die Hexadezimalwerte in acht Bytes mit jeweils 8 Binar- 

stellen umschreiben. 

- 3. Die ungerade Pari tat der ersten sieben Bits jedes Byte 

berechnen. Fiir 8 Byte werden insgesamt 8 Parit^tsbits 
gebildet* 

- 4. Das achte (letzte) Bit jedes Byte durch das im vorherge- 

henden Schritt berechnete Paritatsbit ersetzen. Die Bi- 
nfirwerte in 8 Hexadezimalziffern umschreiben. Das Ergeb- 
nis ist dann der xaanuell generierte Schltissel in Hexade- 
zimaldarstellung • 

Elektronische Schiasselaen erieruna 

Schiassel kdnnen mit den im Anweisungssatz-Abschnitt beschrie- 
benen Anweisungen KGEN und 6KS generiert werden. 

- Generierung durch KGEN 

Die Anweisung KGEN generiert Schiassel^ die unmittelbar im Sy- 
stem benutzt werden kdnnen. 

— KGEN erlaubt die Generierung unchif frierter SchlUssel. 
Dieser Modus wird benutzt, wenn Kuriere eingesetzt wer- 
den. 

— KGEN erlaubt die Generierung von SchlUsseln, die unter 
einer EXKLUSIV-ODER-Verkntipfung des Hauptschliissels mit 
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einem speziellen Steuervektor chiffriert sind. Dieser 
Steuerv^ktor wird der Anwelsung vom CFAP Obergeben und 
wlrd von der Anweisung auf gtiltige Koinbinat:ionen uber- 
prtift. 

- Dvirch GKS 

Die Anweisung GKS generiert SchKissel und gibt sie in chiffrier- 
-ter Form aus. Bei dieser Anweisung werden die SchlQssel. iinmer 
paarweise erzeugt, d.h. zwei Exeniplare eines Schliissels, in fol* 
genden Modi: 

— Modus O: OP-OP (lokal-lokal) 

Dieser Modus generiert nur Da-tenscbiassel ftir die lokale Verwen- 
dung im Syst:eia« £s werden zwei Exemplare eines Datenschlttssels 
generiert. Jedem Schiasselexemplar ist ein Steuervektor lait an- 
deren A1:t:ribut:en zugeordnet:. Ein Exemplar des Schlfissels ha-b 
beispielsweise das Attribut MG (GMAC), das andere das Attribut 
MV (VMAC). Beide Exemplare werden unter einer EXKLUSIV-ODER-Ver- 
kniipfung des Haup-tschlussels und des entsprechenden Steuervek- 
tors chiffriert. 

— Modus l: OP-EX (lokal - Export) 

Dieser Modus generiert ein Schlusselexemplar zur lokalen Verwen- 
dung (und Speicherung) und ein Schltisselexemplar in einer Fona, 
die an einen anderen CV-Knoten exportiert werden kann. Das erste 
Exemplar, das hier als lokales Exemplar bezeichnet wird, wird 
untier dem HauptschlUssel (nach EXKLUSIV-ODER-Verknapf ung mit: dem 
zugeordneten Steuervektor) chiffriert und kann spdter, abh^ngig 
von der Angabe im Exportkontrollf eld an andere Knoten exportiert 
werden (mittels RFMK) . (Es wird angenommen, daB der Signer des 
Schiassels zum Zeitpunkt der Generierung weifi, ob der generierte 
SchlUssel f €kr den Export zugelassen sein soli . ) Das andere Exem- 
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plar, hier als Exportexemplar bezeichnet^ wird unter eineia KEK/- 
Sender des generierenden Knotens (nach EXKLUSIV-ODER-Verknapfung 
mit dem zugeordneten Steuervektor) chiffriert. 

— Modus 2: EX-EX (Export - Export) 

Ein in dieseia Modus generierter Schiassel kann nicht lokal im 
System benutzt werden. Dieser Modus generiert zwei Schltissel- 
exeraplare in Formen, in denen sie an zwei andere CV-Knoten ex- 
portiert werden konnen. Jedes Exemplar des generierten Schlds- 
sels, hier als Exportexemplar bezeichnet, wird unter einem ande- 
ren KEK/Sender (nach EXKLUSIV-ODER-Verknupf ung mit dem zugeord- 
neten Steuervektor) chiffriert. Den beiden Exemplaren sind steu- 
ervektoren mit verschiedenen Verwendungsattributen zugeordnet. 

Dieser Modus ist nQtzlich, wenn SchlQssel von einem Knoten aus 
versendet werden, der als Verteilungszentrum dient. 

— Modus 3: OP-IM (lokal - Import) 

Dieser Modus generiert ein Schiasselexemplar fur die lokale Ver- 
wendung und ein Schltisselexemplar in einer Form, in der es vom 
generierenden Knoten importiert werden kann. Das erste Exemplar 
(das sogenannte lokale Exemplar) wird unter dem Hauptschiassel 
(nach EXKLUSIV-ODER-Verkntipfung mit dem zugeordneten Steuervek- 
tor) chiffriert und kann spSter, abhSngig von der Angabe im Ex- 
portkontrollfeld, an andere Knoten exportiert werden (mittels 
RFMK) . Das andere Exemplar (das sogenannte Importexemplar ) wird 
unter einem KEK/Empf anger (nach EXKLUSIV-ODER-Verknapfung mit 
dem zugeordneten Steuervektor) chiffriert. 

Dieser Modus ist fQr Dateianwendungen nCitzlich. Bei der Archi- 
vierung sensibler Daten werden die chiffrierten Daten \md die 
DatenschlUssel beispielsweise (in chiffrierter Form) auf Band 
gespeichert. Aber unter welchem Schlussel mu5 der auf dem Band 
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gespeicheirte Dat^enschlUssel chif friert werden? Es ist nicht gan- 
stig, den Datenschiassel unter deia Hauptschltissel chiffrierl: zu 
speichern, da der Haupt:schlussel spa-ber ge&nderi: werden kann. 
Prak-tischer ist: es, den Da1:enschl(issel un-ter einem KEK/Sender 
(der in diesem Fall der Hauptschldssel tHr die Datei ist) zu 
chiffrieren, da KEKs eine langere Lebensdauer haben. In einer 
Anwendung generiert die GKS im OP-IM-Modus ein Da'tenschlQssel- 
paar. Das lokale Exemplar hat die CV-Art = Daten/Vertraulichkeit 
und das Verwendungsat-tribut: ftir Chif f rierung. Das Impor-texemplar 
hat die CV-Art = Daten/XLT und das Attribut XDin « 1. Die Daten 
werden dann durch das lokale Exemplar chiffriert (mit der Anwei- 
sung "Chif frieren") . Die chiffrierten Daten und das Importexem- 
plar werden dann archiviert. Zu einem spateren Zeitpunkt, wenn 
die Daten abgerufen und iinter einen neuen Schliissel umchif friert 
werden sollen, wird das Importexemplar vom Band geladen und re- 
konstruiert (mit der Anweisung RTHK) • Da das Importexemplar das 
Attribut XDin = 1 besitzt, kann es in der Anweisung "Chiffretext 
iimwandeln" zur Umchif frierung der Daten unter einen neuen 
Schiassel benutzt werden* Andere identif izierte Anwendungen sind 
solche, bei denen das lokale Exemplar und das Importexemplar die 
in Fig. 37 angegebenen Verwendungsattribute besitzen. 

HINWEIS: In diesem Modus kdnnen nur Datenschlussel erzeugt wer- 
den » 

— Modus 4: IM-EX (Import - Export) 

Dieser Modus generiert ein Schlusselexemplar ftir den spateren 
Import durch den generierenden Knoten und ein Schlfisselexemplar 
in einer Form, in der es an einen anderen Knoten export iert wer- 
den kann. Das erste Exemplar (das sogenannte Importexemplar) 
wird unter einem KEK/Empf Snger (nach EXKLUSIV-ODER-Verkniipfung 
mit dem zugeordneten Steuervektor ) chiffriert. Es kann spSter 
vom generierenden Knoten mittels der Anweisung RTMK abgerufen 
werden. Das andere Exemplar (das sogenannte Exportexemplar ) wird 
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unter einem KEK/Sender (nach EXKLUSIV-ODER^-Verknupfung mlt: den 
zugeordnet:en S-teuervek-tor ) chiffriert:. 

Dieser Modus ist bei IBM SNA-Mehrdomanenanwendungen nCk'tzlich, wo 
z.B. SitzungsschlQssel generiert und verteilt: werden. 

HINWEIS: Fur jedes Exemplar des generier'ten SchlUssels mu5 das 
CFAP den zugeordne1:en S'teuervek'tor an die Anweisung 6KS fiberge- 
ben. Die Anweisung 6KS prdf't die S'teuervek'toren der generier'ten 
Schltisselexemplare je nach Anweisungsmodus auf gQl'kige Verwen- 
dungsa't'tribu'be und gult:ige Kombinationen anderer At:tribut:e. 

gghlQ^^eJ-vert^jllung 

Schliissel konnen laanuell (z.B. durcli Kuriere) Oder elek'tronlsch 
vert:ellt: werden. Die Vert:eilung durch Kuriere ist in grdBeren 
Netzwerken mit zahlreichen Knoten aus Kostengrtlnden nich'b wCin- 
schenswert:. In vielen Fallen wird deshalb die elektronische 
Schltisselverteilung bevorzugt. 

SchKisselve rteilungsprotokolle 

Verschiasselungskno'ten In einem Netzwerk sind gewdhnlich eine 
Mischung von Knoten mit Steuervektor-Verarbeitungsmaglichkeit 
xind Knoten ohne Steuervektor-Verarbeitungsmoglichkeit. Die erste 
Art von Knoten wird als CV-Knoten bezeichnet, die zweite als 
Nicht-CV-Knoten. Beispiele ftir Nicht-CV-Knoten sind einige vor- 
handene IBM Verschiasselungsprodukte wie IBM 4700 oder IBM 
3848/CUSP. Far die Schlusselverteilung unter Knoten der gleichen 
Oder unter schiedlicher Art gibt es folgende Schldsselver- 
teilungsprotokolle : 

- steuer vektormodus ( CV ) 

- Kompatibilitdtsmodus (CV = 0) 

- ANSI X9.17-Modus (ANSI) 
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Der Steuervektonaodus ist: ein Verfahren, bel deia alle von einer 
Chi££riervorricht:ung an eine andere uber-tragenen Schiassel nach 
Schiasselart imd Verwendungszweck des Schltissels kryptographlsch 
gelirenni: sind. Alle abermittelt:en Schiassel haben die Form 
eK£K«C(K), wobei K der zu iiberiiragende Schlussel, KEK der Chif- 
f rierschllissel , iinter dem K chiffriert ist, und C der K zugeord- 
ne-be Steuervek-tor ist. Der Steuervektor C kann mit dem chiff- 
rierten Schltlssel eKEK.C(K) zxisammen CLbertragen werden, muB aber 
nicht. Dieser Modus wird als CV-Modus bezeichnet, weil bei der 
Obertragung Steuervektoren benutzt werden. 

Der Kompatibilitatsmodus ist ein Verfahren, bei dem alle von ei- 
ner Chif friervorrichtung an eine andere iibertragenen Schlussel 
die Form eK£K(K) besitzen. Es erfolgt keine kryptographische 
Schltisseltrennung. Im Kompatibilit&tsmodus konnen Schiassel an 
vorhandene IBM Chif f riersysteme (PCF, CUSP/3848, 4700) verteilt 
werden, die mit diesem Schiasselverteilungsverf ahren arbeiten. 
Derzeit beschrankt sich das SNA-Verschlusselungsprogramm auf die 
Schiasselverteilung nach diesem Verfahren. Die Schlusselvertei- 
lung in diesem Modus ist auf Datenschiassel (mit Verwendungsat- 
tributen fOr Chif frierting und Dechif frierung) sowie MAC-Schias- 
sel (mit MG- und MV-Verwendungsattributen) beschrankt. Dieser 
Modus wird mit CV <= 0 bezeichnet, da er mit der Verwendung eines 
als lauter Nullen bestehenden Steuervektors gleichbedeutend ist. 
Die Schiasselverteilung erfolgt mit CV = 0 bei der Obertragung. 
Die erfolgt ferner mit CV = 0 \inter den CA-Chif f rieranweisungen 
und den CA CFAP-Makros. 

Der ANSI X9.l7-Modus ist ein Schiasselverteilungsverf ahren, das 
den ANSI-spezif ischen Chif frieranweisungen der CA und einer Un- 
tergruppe von ANSI-spezif ischen CFAP-Makros der DDA entspricht. 

Jeder Schiasselverteilungsmodus besitzt eine Gruppe von Regeln 
und Prozeduren, die zusammen das Schiasselyerteilungsverf ahren 
definieren. Jeder Schiasselchif f rierschiassel , den Chif frierein- 
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richtungen zum Zweck der Schlusselubertragung untereinander be- 
nutzen, definiert einen kryptographischen Obertragungskanal oder 
Schiasselveirteilungskanal • Dies kann ein CV-Kanal^ ein CV=0-Ka- 
nal Oder ein ANSI-Kanal sein, je nachdem, welches Schltisselver- 
'teilungspro'tokoll die beiden von dem be-bref f enden Kanal unt:er- 
statz-ten Chiffriervorrichtungen verwenden. Ein CV-Kanal bedeutet 
daher, daS liber diesen Kanal Qbertragene Schlussel dem Steuer- 
vekt:onaodus der Schliisselverteilung entsprechen ; ein CfV=0-Kanal 
bedeut:e1:, da5 die Qber diesen Kanal CLbertragenen SchlUssel dem 
Kompat:ibilit:St:smodus der SchlUsselverteilung ent:sprechen , und 
ein ANSI-Kanal bedeut:et:, daS die uber diesen Kanal fibertragenen 
Da-ten dem ANSI X9 •17-Schiasselverteilungsmodus entsprechen. Es 
ist auch sinnvoll, den gleichen Schliisselchif f rierschlussel al- 
ternativ fUr zwei Kanale zu definieren (z.B. als CV-Kanal und 
als CV=0-Kanal, je nachdem, welcher Modus von der Anwendung aus- 
gewahll: und sich letztendlich als Parameter auf der Ebene der 
Chif frieranweisungen niederschlagt:) . 

Der Schlusselver1:eilungskanal ist: ein bequem^s Konzept, beson- 
ders well das Schlusselverteilungsverf ahren nicht notwendiger- 
weise das in den Chif f riervorrichtungen der betreffenden 
Chif friersysteme verwendete Schltisselverwaltungsverf ahren wider- 
spiegelt Oder von diesem abhSngt. Die Schiasselverwaltung kann 
beispielsweise auf St:euervekt:orbasis oder auf Variantenbasis 
Oder auf sonstige Weise durchgeftUirt: werden, wohingegen das f€Lr 
die Ober-tragung von Schliisseln ausgewahlte Schlusselverteilungs- 
verf ahren von Fragen wie dem Kommunikationspartner , der Einhal- 
tung von Standards \ind Praktiken, friiheren Netzwerkvereinbairun- 
gen usw. abh&ngt. 

Eine Chiffriervorrichtung gemSB der CA (ein sogenannter CA-Kno- 
ten) kann einen CV-Kanal fClr die Komraunikation mit einem anderen 
CA-Knoten errichten; sie kann einen CV=0-Kanal far die Kommuni- 
kation mit einem IBM PCF-, IBM CUSP/3848- oder IBM 4700-System- 
knoten errichten; oder sie kann einen ANSI-Kanal fiir die Kommu- 
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nikation mit einem anderen Knoten^ der die ANSI-Schlusselvertei- 
lung unterstutzt, einrichten. Die CA erlaubt einen Hischkanal 
(CV Oder CV=0), so daB ein einziges KEK-Paar benutzt werden kann 
und -trotzdem aktuelle Anwendungen, die im Koxapatibilit;£lt:siDOdus 
laufen, und neu entwickelte Anwendungen, die gleichzeitig auf 
einem CA-Knoten laufen, mittels eines einzigen KEK-Paares mit 
einem anderen CA-Knoten kommunizieren kdnnen* 

Schlusselarten und Kanalarten 

Unter der CA sind jedem CV eine Art und eine Unterart als co- 
dierte Felder im Steuervektor zugeordnet, Der Schliisselvertei- 
lungsmodus, durch den ein Schiassel legitim dbertragen werden 
kann, wird auch implizit durch die Art/Unterart definiert. (Die- 
se implizite Definition wird anstelle der Codierxing der zulSssi- 
gen Kanalarten in einem separaten Feld des Steuervektors verwen- 
det. Dadurch werden redundante Felder im Steuervektor vermie- 
den.) Der Tabelle in Fig* 70 ist zu entnehmen, welche Kanalarten 
(d.h. SchlQsselverteilungsmodi) zur Kommunikation mit CV-Arten/- 
Unterarten verwendet werden konnen* 

Deklarierter Schlusselverteilungsmodus (mittels der 

cifrjlgfrigr^nweijsunq) 

In jeder Anweisung, bei der ein Export Oder Import von Schliis- 
seln beteiligt ist (GKS, RFMK und RTMK) muB die Kanalart (oder 
der Schlusselverteilungsmodus) durch einen Parameter der Anwei- 
sung (Schlusselverteilungsmodus oder kixrz Modus) deklariert wer- 
den. Da die ANSI-Chif f rieranweisungen von den anderen CA-Anwei- 
sungen getrennt sind, braucht der Modusparameter nur zur Unter- 
scheidung zwischen CV und CV = 0 angegeben zu werden. Der Modus- 
parameter hat als die Form Modus = CV oder Modus = (CV = 0). 

Verbindunassteuerunasfeld 
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Bei der CV-Art "KEK" ist ein CV-Feld mit der Bezeichnung "Ver- 
bindungssteuerung" definier-t. Im Verbindtingssteuerungsf eld war- 
den die zulassigen Kanalarten definiert, unter denen der KEK 
verwendet werden kann. Das Verbindungssteuerungsfeld ist folgen- 
denaaSen definiert: 



Codierung der Verbindungssteuerung Int:erpret:at:ion 

00 entfailt 

01 nur CV 

10 nur CV = 0 

11 CV Oder CV = 0 



Das Feld "entfailt" ist fUr mSgliche derzeitige und zukunftige 
Definitionen von KEK-Unterarten definiert, fur die das Verbin- 
dungssteuerungsfeld nicht von Bedeutung ist. FQr CV-Art/Unterart 
"KEK/ANSI** beispielsweise hat die Verbindungssteuerung keine 
Bedeutung, und das Feld wird deshalb auf '00' gesetzt. Verbin- 
dungssteuerung = '11' bedeutet, daB mit dem betreffenden KEK 
Schldssel entweder Ober einen CV-Kanal oder uber einen CV»0-Ka- 
nal Qbertragen werden kdnnen, je nachdem, welcher Verteilungs- 
modus in der Chif frieranweisung angegeben wird. 

SGtilQsselvertetlunasmodus und Verbindungssteuerung 

Der in der Chif frieranweisung angegebene Schlusselverteilungs- 
modus muB immer ein zuldssiger Modus ein, das heiBt, das Verbin- 
dungssteuerungsfeld ira Steuervektor des KEK, der zum Chiffrieren 
des (ibertragenen SchKissels benutzt wird, muB den angegebenen 
Schltisselverteilungsmodus erlauben. Die Regeln hierftlr sind in 
der Tabelle in F.ig. 71 aufgefOhrt. 

Allqemeine PrQf regeln 
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In bisherigen Teil der Beschreibung wurde ein Regelsatz darge- 
stelll:, der nun zusammengef aBt und exemplarisch beschrleben wer- 
den kann. 

In jeder Chlf frieranweisung, die zum Impoirt oder Expozrt eines 
SchlCtssels fOhrt, sind drel Parameter von Interesse: 

- der in der Chif f rieranweisung angegebene Verteilungsmodus 
(der im folgenden als M bezeichnet werden soil) 

- das Verbindungss-teuerungsfeld im Steuervektor fur den KEK, 
der zur SchldsseltUDertragung verwendet werden soli (im fol- 
genden als L bezeichnet) 

- das CV-Art/Unterart-Feld im Steuervektor fur den Ubertragenen 
Schlussel (im folgenden als T bezeiclmet) • 

Urn zu entscheiden, ob die Anweisung ausgeftihrt werden kann, wer- 
den zwei Prafungen durchgeftlhrt. (Es werden noch andere PrQfun- 
gen durchgeftihrt, die hier aber nicht relevant sind.) Dabei wird 
folgendes geprtift: 

- T muB durch M erlaubt sein 

- M muB durch L erlaubt sein 

Das bedeutet, daB fUr die CV-Art/Unterart die Obertragung Ober 
den durch M angegebenen Schliisselverteilungsmodus erlaubt sein 
muB, und daB der durch H angegebene Modus von L unterstCltzt Oder 
zugelassen sein muB. 



CV-Art/Unterart Kanalart 

CV CV = 0 ANSI 
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Daten/Vertraulichkeit 

Daten/MAC 

Daten/XLT 

Daten/Kompatibilitat 
Daten/ANSI 

KEK/Sender 
KEK/Empf anger 
KEK/ANSI 

PIN/Chiffrieren 
PIN/Generleren ' 

ICV/Zwischen-MAC ICV 

Schliisselteil/entfallt 



j n n 

j n n 

j n n 

j* j n 

n n j 

j n n 

j n n 

n n j 

j n n 

j n n 

n n n 

j n n 



HINWEIS: Ein Schiassel der Art/Unterart = Daten/Kompatibilitat 
(d.h. ein Koiapa1:ibili't€Lt:s-Dat:enschliissel) kann tlber einen CV- 
Kanal mil: einem Slieuerveklior oder liber einen CV=0-Kanal durch 
En-bfernen des S-teuervek-tors iiber-tragen werden. 



SchlusselverteilunaszentLrum 



Das SchltLsselver'teilungszentruin (KDC) isl: das Zent:rum, in dem 
Schltlssel generiert und an andere Kno-ten des Net:zwerks ver-keil-b 
werden. Das KDC kann jedoch kein lokales Exemplar dieser 
SchlQssel ftir eine eigene Verwendung behal-ten. 

- SchlUssel an zwei CV— Knoten verteilen 

C sein das KDC-Zentriim, das Schlfissel ftir die zwei Knoten A und 
B verteill:. KKca sei der Mehrdomanenschliissel , der verwende't 
wird, um Schlussel von C an A zu senden, und KKcb sei der Mehr- 
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domanenschlussel , der verwendet wird, um SchlUssel von C an B zu 
senden. In der Anweisung GKS kann im KDC der Export-Export-Modus 
verwendet werden, um zwel Exemplare elnes Schiassels K zu gene- 
rieren und an die Knoten A und B zu senden. Die beiden Exemplare 
des generierten Schltissels werden unter der Form e*KKca.C3(K) 
bzw. e*KKcb,C4(K) chiffriert und abermittelt, wobei C3 und C4 
die Steuervektoren sind, die den Verwendungszweck des Schliissels 
K an den Knoten A und B festlegen. Die Steuervektoren C3 und C4 
werden vora CFAP anhand der Benutzerangaben generiert. Fttr die 
Attribute von C3 und C4 gelten folgende Regeln: 

— 1. Wenn der zu verteilende Schlussel K ein Datenschltts- 

sel ist, m(issen folgende Bedingungen erfiillt werden: 

Als CV-Art-Attribut mxB bei beiden Steuervektoren die 

Hauptart = "Datenschiassel" angegeben sein, und die 
Unterart muB bei beiden Steuervektoren identisch 
sein. 

C3 und C4 konnen gleiche Oder entgegengesetzte Ver- 

wendungsattribute haben . Die beiden Knoten A und B 
konnen zum Beispiel den Schiassel K sowohl zum Chif - 
f rieren als auch zum Dechif frieren veirwenden (gleiche 
Verwendungsattribute in C3 und C4), Oder Knoten A 
kann den SchltLssel nur zum Generieren eines MAC be- 
nutzen, wahrend B ihn nur zum Oberprtifen eines MAC 
benutzen kann (unterschiedliche Verwendungsattribute 
in C3 und C4). In Fig. 34 sind alle zulassigen Kom- 
binationen der Verwendungsattribute von C3 und C4 
auf gefCLhrt . 

— 2. Wenn K ein Schltisselchif frierschiassel ist^ gilt: 

Wenn C3 das CV-Art~Attribut "KEK/Sender" hat, muB C4 

das CV-Art-Attribut "KEK/Empf Snger" haben und umge- 
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kehrt. Das bedeutel:, wenn der Schltissel K an Knotien A 
zum Senden von SchlCksseln benutzzt: wird, muB er an 
Knoten B zum Empf angen von Schltisseln verwendet: wer- 
den und imgekehrt. 

- — Das Verbindungssteuerungsattribut lauB in beiden Steu- 
ervek'koren ldent:isch seln. 

— 3. Wenn K ein PIN-Chif frierschliussel ist:, miissen sowohl 
C3 als auch C4 das CV-Art-Attribut "PIM/Chif f rieren" 
aufweisen. 

Neben den genanntien Attributen setzt das CFAP auch das Export- 
kontrollattribut in C3 und C4, wobei dieser Wert davon abhangt, 
was das KDC fur den weiteren Export des Schlussels K durch die 
Ezapfangsknoten A und B vorsieht. Die Bedeutung des Exportkon- 
trollfeldes wird im Abschnitt tiber die Steuervektoren beschrie- 
ben. 

An den Empf angsknoten A und B kann der SchlUssel K mittels der 
Anweisung RTMK abgerufen werden. A kann beispielsweise mit RTMK 
den Schlussel e*KKca.C3(K) unter seinen eigenen Hauptschliissel 
(nach EXKLUSIV-ODER-VerknCLpfung mit einem Steuervektor ) umchif- 
f rieren, damit er in diesem System benutzt werden kann. 

HINWEIS: Schltissel, die mittels der Anweisung GKS von einem CV- 
Knoten an einen anderen CV-Knoten ubermittelt werden sollen, 
mussen (iber den CV-Kanal gesendet werden. Dies impliziert, daB 
im Verbindungssteuerxingsfeld der Steuervektoren, die den Mehr- 
domanenschltisseln KKca und KKcb zugeordnet sind, das Attribut 
"nur CV" Oder "CV oder CV « 0" stehen muB. 

- Schltissel an mehr als zwei CV-Knoten verteilen 
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Der Hauptzweck der Schltisselverteilungszentren besteht darln, 
Schliissel fCLr die Konanunlka'tlon zweier Knoten zu erzeugen* Die 
Vertieilung von Schlfisseln an mehr als zwei Knoten ist nur selt:en 
erforderlich. Das KDC ist jedoch in der Lage, Schiassel an mehr 
als zwei Knoten zu verteilen, vorausgesetzt, die den zu versen- 
denden Schliisselexemplaren zugeordneten Steuervektoren sind 
identisch. 

KKci sei der Mehrdomanenschlussel ztun Versenden von Schiasseln 
voia Knoten C, der als KDC fungiert, an den Knoten i (i = 
1^2, ••.n). Das KDC kann einen SchlUssel wie folgt an n Knoten 
(n]2) verteilen: 

— 1. Mit der Anweisung KGEM wird ein Schltissel K gene- 

riert. K wird unter dem Hauptschiassel KM des KDC 
chiffriert. K hat also die Form e*KM.Cl(K), wobei CI 
der Steuervektor ist, der die Attribute von K fest- 
legt. Im Exportkontrollf eld von CI mufl das letzte Bit 
(Bit 1) den Wert "1" haben, damit K mittels RFMK ex- 
portiert werden kann. 

— 2. Die Funktion RFMK wird n mal ausgefCUirt, urn 

e*KM.Cl(K) in die Foarm e*KKci.C2(K) (mit i = 
1,2, ...n) umzuwandeln, wobei C2 der neue Steuervektor 
ist, der das Attribut des Schlussels K far die Ver- 
wendung am Empf angsknoten angibt. Diese Form wird 
demn an alle Knoten 1 gesendet. 

An den Empf angsknoten kann der Schlussel K mit der Anweisung 
RTHK abgerufen werden. 

HINWEIS: Bei dieser Anwendung steht im KDC ein lokales Exemplar 
des generierten Schlttssels K zur Verfugung, Dies darf nur dann 
zulSssig sein, wenn der Schlussel in der Anwendung nicht offen- 
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geleg^ wird. Diese Anwendung ist dcOier nur sehr beschrankt mog- 
lich. 

Eine Alternative, bei der das KDC keine lokalen Exemplare des 
generlerten SchlQssels bendtigt, kann wie folgt implementiert 
werden : 

— 1. Das KDC verwendet die Anweisung GKS im Export- Export- 

Modus, um Schlussel an einen Oder zwei Knoten zu sen- 
den. 

— 2. Das KDC reimportiert ein Exemplar des SchlQssels un- 

ter einem KEK mit den Attributen '^XLTKEY in" und 
"XLTKEY out" (vorausgesetzt, die CA erlaubt dies) und 
wandelt dieses Exemplar in die Formen um, in denen es 
an die anderen Knoten gesendet werden kann. 

- SchlUssel an Nicht-CV-Knoten verteilen 

Das KDC kann nur DatenschlUssel an zwei oder mehr Nicht-CV-Kno- 
ten verteilen. Die Verteilung anderer Schlusselarten an Nicht- 
CV-Knoten ist nicht zulSssig. Datenschlussel werden zuerst mit 
der Anweisung KGEN generiert und anschlieBend mit der Anweisung 
RFMK €U3er den KompatibilitStskanal an Nicht-CV-Knoten gesendet. 
Dies bedeutet implizit, daB der Steuervektor , welcher dem KEK 
zugeordnet ist, iinter dem die SchKissel Obertragen werden, im 
Verbindungssteuenmgsfeld das Attribut "CV = 0" enthalten muB. 
Natttrlich muB im Exportkontrollfeld des dem generierten Daten- 
schltissel zugeordneten Steuervektors der Export des SchlQssels 
(mittels RFMK) erlaubt sein, damit der SchlQssel verteilt werden 
kann. 

HINWEIS: Wie im obigen Fall ist im KDC ein lokales Exemplar des 
generierten SchlQssels K verfQgbar. Dies darf nur dann zulassig 
sein, wenn der SchlQssel in der Anwendung nicht offengelegt 
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wird. Diese Anwendung ist daher nur sehr beschrankt moglich. Die 
im obigen Fall vorgeschlagene Alternative, GKS und XLTKEY zu 
kombinieren , ist auch in diesexn Fall anwendbar. 

- Schiassel an einen CV-Knoten und einen Nicht-CV-Knoten ver- 
teilen 

Das KDC kann nur Datenschliissel sowohl an CV-Knoten als auch an 
Nicht-CV-Knoten senden. Dies ist dadurch bedingt, daB nur Daten- 
schlQssel an einen Nicht-CV-Knoten ubertragen werden kdnnen. Die 
Verteilung kann mittels KGEN und RFMK Oder mittels GKS und RFMK 
erfolgen. Dies bedeutet, daB der Datenschliissel zuerst mit der 
Anweisung KGEN Oder GKS generiert wird. Ein Exemplar wird dann 
mittels RFMK oder durch die Anweisung GKS (im OP-EX-Modus) sel- 
ber an den CV-Knoten gesendet (der CV-Kanal sollte iiamer benutzt 
werden). Das andere Exemplar wird mittels RFMK unter CV = 0 an 
den Nicht-CV-Knoten gesendet. 

Auch in diesem Fall ist im KDC ein lokales Exemplar des gene- 
rierten Schltissels verftigbar. Mit der Kombination GKS/XLTKEY 
kann dieses Problem umgangen werden. 

Schiasselumwandlunq 

Schiassel konnen mit der Funktion "SchlUssel vunwandeln** von ei- 
nem Schliisselchif f rierschliissel unter einen anderen Schldssel- 
chif frierschlUssel umchiffriert werden. Diese Funktion ist bei 
Schiasselumwandlungszentren (KTC) nUtzlich, d.h. in einer Umge- 
bung, in der ein oder mehrere Knoten zur Umwandlung von Schlfis- 
sel far andere Knoten eingesetzt werden. Beispiel: Ein System 
enthalt drei Chif f rierknoten A, B vmd C wie in Fig. 72. Neben 
der normalen Funktion als Chif f rierknoten wird C als KTC fttr A 
und B eingesetzt. A kann tiber die Mehrdomanenschltissel KEKac und 
KEKca mit C kommunizieren. Entsprechend kommuniziert B tiber 
KEKbc und KEKcb mit C. Angenommen, A sendet B Da ten, die unter 
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dem Da-tenschlQssel KD chiffriert sind, und A und B haben anfangs 
keine gemeinsamen MehrdoiaSnenschlQssel fur die Koximiunikat:ion . Um 
die Daten zu dechif f rieren, muB B den Schiassel KD kennen. Da A 
und B keine gemeinsamen MehrdomSnenschiassel besitzen, kann A 
keine chif f rierten Schlussel senden, die von B rekonstiruiert 
werden kannen. C kann B helfen KD .zu empfangen, indem C als KTC 
fungiert. Zuerst sendet A ein unter KEKac chiffriertes Exemplar 
von KD (d.h. e*KEKac.Cl(KD) ) an C. Dann ruft C die Funk1:ion 
XLTKEY au£, um e*KEKac»Cl(KD) in e*KEKcb»Cl(KD) umzuwandeln, und 
sendet: e*KEKcb.Cl(KD) an B. Im Knoten B wird KD mit Hilfe der 
Funktion RTMK rekonstruiert , und die chiffrierten Da-ben konnen 
unter Verwendung des empfangenen KD mit der Dechif frier funkt ion 
dechiffriert werden. 

Die Anweisung XLTKEY ist so gestaltet, daB das KTC kein Exemplar 
des KD behalten kann. Aus Sicherheitsgrfinden erlaubt die CA auch 
kein Mischen und Abgleichen von KanSlen, unter denen die umzu- 
wandelnden Schltissel ankommen ( Eingangskanal ) bzw. abgehen (Aus- 
gangskanal). Wenn der Schlussel Ober einen CV-Kanal ankommt^ muB 
der umgewandelte SchlOssel also auch Ober einen CV-Kanal abge- 
sendet werden; wenn der Eingangskanal ein CV=0-Kanal ist, muB 
der Ausgangskanal ebenfalls ein CV=0-Kanal sein. Dies bedeutet, 
daB die Steuervektoren ftLr die dem Eingangskanal zugeordneten 
KEKs und die dem Ausgsmgskanal zugeordneten KEKs (im obigen Bei- 
spiel also KEKac und KEKcb) im Verbindungssteuerungsf eld Attri- 
bute enthalten mdssen, die einer der bei der Anweisung XLTKEY 
beschriebenen gCkltigen Kombinationen entsprechen. 

Export von Schltisseln 

Der Export eines Schlflssels ist die Chiffrierung des SchlQssels 
unter einer tHr die Versendung an andere Knoten geeigneten Form, 
Das heiBt, der Schiassel wird unter einem Schlusselchif frier- 
schlussel chiffriert, den beide kommunizierenden Knoten besit- 
zen. 
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Eln CV-Sys-teiQ kann Schlussel mi^ anderen Systemen aust:auschen , 
unabhSngig davon, ob es sich bei dlesen um CV-Systeme handelt 
Oder nichi:. In der CA slnd ftir den Export: von Schliisseln folgen- 
de Regeln definlert: 

- Export von SchlCLsseln an ein CV-System 

Ein Steuervektorsystem kann Datenschiassel , Schlusselchif f- 
rlerschliissel , PIN-Schiassel , Zwischen-ICVs , Schiasselt:eile und 
Tokens an andere CV-Knoten exporbieren • 

Der Export an CV-Knoten erfolgt mit der Anweisung RFMK Oder mit 
der Anweisung GKS wie oben beschrieben. 

- Export von Schiasseln mit der Anweisung RFMK 

SchliQssel, die in einem System lokal benutzt werden, konnen mit 
der Funktion RFMK an andere CV-Knoten exportiert werden, wenn 
die Angabe im Exportkontrollfeld des betref fenden Steuervektors 
dies zulaBt. In der Regel warden solche Schiassel entweder durch 
die Anweisungen K6EN Oder GKS generiert Oder von einem anderen 
Knoten empfangen. 

Angenommen, K sei ein lokal im System benutzter SchlOssel, der 
in der Form e*KM.C(K) chiffriert ist, wobei C der vom CFAP er- 
stellte und Qbergebene Steuervektor ist^ der die Verwendung von 
A bestimmt. Unabhangig davon, ob K im System generiert oder von 
einem anderen Knoten empfangen wurde oder durch eine lokale Uro- 
wandlung eines vorhandenen Schiassels (durch die Anweisung LCVA) 
entstanden ist, mu£ die Entscheidung aber den Export von K im 
Exportkontrollfeld des Steuervektors C angegeben sein. 1st im 
Exportkontrollfeld von C der Export von K an einen anderen CV- 
Knoten erlaxibt, kann K mit der Anweisung RFMK exportiert werden. 
Angenommen, KK sei der Mehrdomanenschlussel zur Ubertragung von 
SchlClsseln von A an diesen Knoten. Die Form des zu iibertragenden 
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Schlussels ist von der f iir die Obertragiing verwendeten Kanalart 
abhangig. Die Kanalart wird beim Funktionsaufruf im Vesrteilungs- 
modus der Anweisting RFHK angegeben. Die Anweisung RFMK wird nur 
dann ausgeftihrt, wenn der Verteilungsmodus-Parameter von RFMK 
iind der Wert im Exportkontrollf eld des Steuervektors Ckk (dem 
SchlQssel KK zugeordneter Steuervektor ) eine der in Fig. 71 auf- 
gefuhrten gultigen Kombinationen bilden. 

— Wenn der Verteiltingsmodus den CV-Kanal verlangt und im 
Verbindungssteuerungsfeld von Ckk entweder "CV«» Oder "CV 
Oder CV = 0" steht, ist: die Korobina-bion gultig. K wird in 
der Form e*KK.Cl(K) export iert, wobei CI der Steuervektor 
ist, der vom CFAP anhand von C erstellt und an die Anwei- 
sung RFMK ubergeben wurde. 

— Wenn der Verteilungsmodus den CV=0-Kanal verlangt und im 
Verbindungssteuerungsfeld von Ckk entweder "CV = 0" Oder 
"CV Oder CV = steht, ist die Korobination gCLltig. K 
wird unter der Form e*KK(K) export i art. Der Steuervektor 
wird in diesem Fall abgetrennt. Es ist zu beachten, dafi 
nur Schlussel der CV-Art "Daten/Kompatibilitat" uber den 
CV«0-Kanal tibertragen werden darfen. Andere Schltlssel 
sind aus Sicherheitsgrdnden ausgeschlossen (siehe den Ab- 
schnitt CUser Angri££e auf die Sicherheit) • Vorhandene 
Anwendungen (z.B. Anwendungen, die auf IBM CUSP/3848 lau- 
fen) f die bei der tibernahme auf CA-Knoten keine Steuer- 
vektorstrukturen besitzen, verwenden zum Exportieren von 
Schlusseln den CV=0-Kanal. 

- Export von Schlusseln mittels GKS 

Mit der Anweisung GKS im OP-EX-Modus, im OP-IM-Modus, im IM-EX- 
Modus und im EX-EX-Modus konnen Schlussel gleich bei der Gene*- 
rierting an andere CV-Knoten exportiert werden. Die Modi dieser 
Anweisung werden unter "Elektronische Schltisselgenerierung" be- 



MA9-88-011 



- 224 - 



schrieben. In diesen Modi wird nur das Exportexemplar an andere 
Knot:en gesende^; das Xiapoirtexeiaplar wird nich-t versende-t, son- 
dem zu einem spSteren Zeitipunkt vom generierenden Knot:en selber 
empfangen, und das lokale Exemplar kann nur in generierenden 
Kno1:en lokal benu^z-t werden. 

Im Gegensatz zu der Anweisung RFMK exportiert die Anweisung GKS 
das Exportexemplar nur untier dem CV-Kanal an einen anderen CV- 
Knoten. Dies bedeutet, dafi das Verbindungssteuerungsf eld des 
Steuervek1:ors , der dem zum Chiffrieren des Exportexemplar s ver- 
wendeten Schltisselchif f rierschiassel zugeordnet ist^ das Attri- 
but "CV" Oder "CV Oder CV = 0" enthalten muB. Bei der gleichen 
Notation wie oben wird das Exportexemplar unter der Form 
e*KK.Cl(K) exportiert. 

Die Funktion GKS bletet eine sichere MSglichkeit, Schlussel an 
CV-Systeme zu exportieren. Sie kann nicht direkt zur Versendung 
von Schiasseln an Nicht-CV-Systeme benutzt werden. 

HXNWEXS: Wenn mit RFMK Oder GKS ein Schiassel unter dem CV-Kanal 
exportiert wird, kann es Falle geben, in denen der dem Schltissel 
zugeordnete Steuervektor nicht mit Qbertragen wird. Urn den rich- 
tlgen Schiassel wiederherzustellen, muB der Empf angsknoten in 
der Lage sein, den Steuervektor korrekt zu rekonstruieren. Unter 
"Steuervektor en bei der Obertragung" werden fur den Fall, daB 
der Steuervektor nicht mitgesendet wird, Prozeduren zur Erstel- 
lung des Steuervektors am sendenden Knoten und zur Rekonstrukion 
des Steuervektors am empfangenden Knoten beschrieben. 

Beim Senden eines SchlQssels kann der sendehde Knoten festlegen, 
Ob der empfangende Knoten den Schiassel an andere Knoten welter* 
versenden darf oder nicht. 

- Wenn der sendende Knoten nicht wilnscht, daB empfangende Kno- 
ten den SchlUssel an andere Knoten weitergeben darf, setzt 
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das CFAP den Wert im Exportkontrollf eld des dem expoirtierten 
Schltissel zugeordneten Steuervelckors auf B'lO'. 

- Wenn der sendende Knoten dem empfangenden Knoten die weitere 
Exportkontrolle dieses Schltissels erlaxibt, setzt das CFAP im 
Exportkontrollf eld Bit O auf 'O'; das andere Bit ist nicht 
relevsuit. Wenn der Schlt&ssel am Zielknoten empfangen wird^ 
kann dleser die zwei Bits des Exportkontrollfeldes beliebig 
setzen. 

Die CA erlaxobt die Reduzierung der Exportkontrollberechtigung 
mittels der Anweisung LCVA. Beispiel: Nachdem Knoten A einen 
Schlussel K an einen anderen Knoten exportiert hat^ soil kein 
weiterer Export erlaubt sein. Knoten A kann den Export dieses 
Sohlfissels untersagen, indem auf den Schiassel K tmd den zuge- 
ordneten Steuervektor die Anweisung LCVA angewendet wird, wo- 
durch die Exportkontrollberechtigung auf B'OO Oder B'lO' (kein 
Export) herabgesetzt wird. 

- Export von Schlusseln an Nicht-CV-Systeme 

Ein direkter Export von SchlUsseln an Nicht-CV-Systeme ist nur 
mit der Anweisiing RFHK mdglich, vorausgesetzt , die Angabe im 
Exportkontrollf eld des zugehdrigen Steuervektors erlaubt dies. 
Aus Sicherheitsgrtinden konnen auch nur SchlUssel der CV-Art "Da 
ten/Kompatibilitat" an Nicht-CV-Knoten exportiert werden. Wenn 
mit RFMK ein Schlussel an einen Nicht-CV-Knoten exportiert wird 
kann fQr die Versendung nur der CV=0-Kanal benutzt werden. Dies 
bedeutet, daB der Verteilungsmodus-Parameter in der Anweisung 
RFHK den CV=0-Kanal vorschreiben muB, und daB im Verbindungs- 
steuerungsf eld des Steuervektors, der dem zur Versendung des 
Schlussels benutzten Schlusselchif f rierschiassel zugeordnet ist 
das Attribut "CV = 0" Oder "CV oder CV = 0" stehen muB, Bei der 
glelchen Notation wie oben wird der Schlussel in der Form 
e*KK(K) an einen Nicht-CV-Knoten gesendet. 
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Import: von Schliisseln 

Der Xmpoirb elnes SchltLssels entsprlch't der Umchlffrierung des 
SchlCLssels von einem SchlCLsselchif frlerschlttssel unt:er den 
Haup-bschiassel des Empf angsknotens* SchlUssel in import:! er barer 
Form (d.h« unter einem SchltLsselchif frierschltissel chiffriert:e 
SchlUssel) werden entiweder von anderen Knot:en gesende't oder mit 
der Anweisung GKS (im OP-IM-Modus oder im IM-EX-Modus) gene- 
riert. Zum Importieren eines Schiassels kann nur die Anweisung 
RTMK benu'bzt: werden. 

- Import von CV-Sys1;emen 

Ein CV-Syst:em kann einen von einem CV— Knoten gesendeten 
Schiassel jeder beliebigen CA-Schltisselart empfangen. Der von 
einem anderen CV-Knot:en gesendet:e SchlCissel kann fiber einen CV- 
Kanal oder tiber einen CV«o-Kanal emkommen und muB vom ent:spre-* 
chenden Kanal empfangen werden. Die Ksmalart: wird beim Funk- 
tionsauf ruf durch den Verteilungsmodus-Parameter in der Anwei- 
sung RTMK festigelegt:. 

— Wenn der Verteilungsmodus den CV-Kanal vorschreibt, wird 
der SchlCkssel tUber den CV-Kanal gesendet: und empfangen. 
Der Schltissel kommt vom sendenden Knoten in der Form 
e*KK.C3(K), wobei KK der gemeinsame HehrdomSnenschltlssel 
der komxaxinizierenden Knoten und C3 der dem versendeten 
Schlussel K zugeordnete Steuervektor ist, Der Steuervek- 
tor C3 kann zussuomen mit dem SchlCLssel tibertragen werden 
muB aber nicht. 

— Wenn C3 mit dem SchlQssel zusammen gesendet wird, er- 
stellt das CFAP (am Empf angsknoten) anhand des Obertrage 
nen Steuervektors C3 einen neuen Steuervektor C2. Das 
CFAP dbergibt C2, C3 und andere Parameter an die Anwei- 
sung RTMK. RTMK rekonstruiert den SchltLssel K mit Hilfe 
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von C3, prtift dann C2, und chiffriert mit Hilfe von C2 
den rekons1:ruiert:en Schiassel unt:er den Haupt:schlCissel 
um. Der abgerufene SchlQssel liegt jetzt: In der far die 
lokale Verwendung geeigneten Form e*KM.C2(K) vor. 

— Wenn C3 nicht mit deia SchlQssel zusammen gesendet: wird, 
rekonstruiert das CFAP (am Empf angsknoten) zuerst.C3, 
ers-tell-t dann anhand von C3 einen neuen Steuervektor C2 
und tibergibt: dlese Steuervektoren und andere Parameter an 
die Anweisung RTMK. Wie oben wird der SchllLssel in der 
Form e*KM.C23(K) abgerufen. 

Das CFAP kann, abhangig vom Inhalt des Exportkontrollf eldes von 
C3, im Exportkontrollf eld von C2 einen anderen Wert setzen als 
im Exportkontrollf eld von C3* 

— Wenn im Exportkontrollf eld von C3 der Wert B'lY' steht, 
wobei Y entweder O oder 1 ist, muB das CFAP im Exportkon- 
trollfeld von C2 den gleichen Wert setzen wie im Export- 
kontrollf eld von C3. Wenn Y = 0 ist, erlaubt der sendende 
Knoten den weiteren Export des Schiassels durch den emp- 
fangenden Knoten nicht. 1st Y » 1, kann der SchlUssel an 
andere Knoten weiterexportiert werden. 

— Wenn im Exportkontrollf eld von C3 der Wert B'OY' steht, 
wobei Y entweder 0 Oder 1 ist, kann das CFAP im Export- 
kontrollf eld von C2 einen beliebigen Wert angeben. In 
diesem Fall kdnnen die Exportkontrollf elder von C2 und C3 
also unterschiedliche Werte enthalten. Es ist zu beach- 
ten, daB das zweite Bit des Exportkontrollf eldes von C3 
keinen EinfluB auf den weiteren Export des empfangenen 
Schliissels hat. Beispiel: Wenn im Exportkontrollf eld von 
C3 B'OY' = B'OO' ist (d.h., wenn Y = 0 ist), kann der 
Empf angsknoten den weiteren Export des empfangenen 
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SchlQssels erlauben^ indem im Exportkontrollf eld von C2 
en-tweder B'Ol' Oder B'll' gesetzt wird. 

HINWEIS: Die Funkt:lon RTHK wlrd nur ausgeffihrt, wenn Im Verbin- 
dungsst:euerungsfeld des KK zugeordneten St:euervekt:ors entiweder 
das Attrlbut "CV" oder das Attrlbut "CV Oder CV = o" steht. 

— Wenn der Verteilungsiaodus den CV=0-Kanal vorschrelbt , 

wlrd der Schiassel Ckber den CV=0-Kanal gesendet: und einp- 
fangen. Der Schliiissel komxnt: vom sendenden Knotzen In der 
Form e*KK(K) an. Am Empf angskno-ten wlrd der Schlussel In 
der Form e*KM-C2(K) abgerufen, wobel C2 der K zugeordne1:e 
Steuervektor Ist, der vom CFAP erstellt und an RTMK iiber- 
geben wird. Im Exportkontrollf eld von C2 kann vom CFAP 
jeder gewunschte Wert gesetzt werden* 

HINWEIS: Nur die SchlUsselart "Daten/Kompatibilltat" wlrd ttber 
den CV=0~Kanal gesendet und empfangen. C2 hat also die CV-Art 
"Daten/Kompatibllitat" / und die Verwendungsattribute sind auf 
die Kombinationen von "Chif f rieren" ^ "Dechif f rieren" , "MAC gene- 
rieren" und "MAC (iberpriif en" beschr^nkt. Es ist auBerdem zu be- 
achten, daB die Anwelsung RTMK nur ausgefUhrt werden kann, wenn 
im Verblndungssteuerungsfeld des KK zugeordneten Steuervektors 
das Attrlbut "CV =0" oder "CV oder CV = 0" angegeben 1st. 

Empfanggn VQn gchlu^g^ln yon Njl<?lftt-CV-SYstemen 

Eln CV-System kann von elnem Nicht-CV-System nur die SchlQssel- 
art "Daten/Kompatibllitat" empfangen. Der gesendete Schltissel 
kommt vom sendenden Knoten nur unter elnem CV=0-Kanal an (in der 
Form e*KK(K) ) • Der Schltissel wlrd auf die glelche Welse empfan- 
gen wie wenn er Ober elnen CV=0-Kanal von elnem CV-Knoten gesen- 
det wlrd. 
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Steuervektoren bei der Ubertraaunq 

EinftUiruna in die ObertracrunasprotokQlle ftlr die Obermlttiluna 

von Schiasseln 

Die CA enthalt tJbertragungsprotokolle far die elektronische 
Obermittlung von Chif f rierschldsseln von einer Chif f riervorrich- 
tung an eine andere. Das CA-Ubertragungsprotokoll ent:hSlt: eine 
Steuervektordef inition far die Obertragung und eine Angabe der 
zulSssigen Protokolle zur Verwendung dieser Steuervekt:ordef ini- 
tion fOr die elektronische Obermittlxing von Chif f rierschiasseln. 

Grundsatzlich liefert das CA-Ubertragungsprotokoll ein Mittel 
zur kryptographischen Trennung der elektronisch abermittelten 
Schiassel nach Schiasselart oder Verwendungszweck. Das Obertra- 
gungsprotokoll ist so gestaltet, daB wenn bei der Obertragung 
eine Schiasselart durch eine andere ersetzt wird, der ersetzende 
Schiassel beim Biapfanger nicht korrekt rekonstruiert werden 
kann. In diesem Fall haben die sendende und die empfangende 
Chif f riervorrichtung keine zusammenpassenden Schiassel, so daB 
eine Komiaunikation lait einem solchen Schiasselpaar nicht moglich 
ist. Ein Gegner kann bestenfalls das Chif f riersystem storen. 
Angriffe, bei denen ein Gegner versucht, eine empfangende Chif- 
friervorrichtung zur Benutzung eines Schiassels in einer nicht 
von der sendenden Chif friervorrichtung vorgesehenen Weise zu 
zwingen, werden abgewehrt. 

Anforderunaen an die Schlusselverwaltunq der kommun izierenden 
Chif f r iervorrichtungen 

Das CA-Obertragungsprotokoll stellt folgende Anf orderungen an 
die Schiasselverwaltimgen zweier miteinander koxnmunizierender 
Chif friervorrichtungen i und j: 
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- 1. i und j miissen ein Schltisselchif f rlerschliisselpaar KEKij 

und KEKjl 1:ellen, wobei KEKij zum Senden von SchlOsseln 
von i an j und KEKjl zum Senden von Schiasseln von j an i 
benutzt wird und KEKij und KEKji doppelt:e Lange (128 Bit:) 
aufweisen. Wahlweise konnen i und j nur KEKij zum Senden 
von Schlusseln von i an j oder KEKji zxxm Senden von 
Schllisseln von j an i besitzen, AuBerdea konnen i und j 
wahlweise zus&lizliche Schiasselchif friersohlussel oder 
SchlUsselpaare fiir Zwecke der elektronischen Schlfissel- 
veirteilung gemeinsam haben. Oiese Schlttsselchif frier- 
schltissel werden gew6hnlich als Mehrdomanenschldssel be- 
zeichnet:. 

- 2. An i und j mussen die Schiassel KEKij und KEKji so "roar- 

kiert" sein, daB die Verwendung dieser Schlussel tilr den 
elektronischen Export: und Import von SchlClsseln (mittels 
GKS^ RFMK und RTHK) nur in Verbindung mit einem Steuer- 
vek-bor mdglich in der von der Architektur def inierten 
Weise moglich ist, Zusatzliche Schiasselchif friersohlus- 
sel Oder Schlusselpaare , die die Chif f riereinheiten wahl- 
weise gemeinsam heUDen kdnnen, miissen diese Voraussetzung 
ebenfalls erfiillen. 

HINWEIS: i und j kdnnen einen oder mehrere Schiasselchif frier- 
schiassel (Oder Schiasselpaare) fttr die elektronische Schiassel- 
verteilung gemeinsam haben, wobei die gemeinsamen Schiassel ein 
Verfahren benutzen, bei dem keine Steuervektoren beteiligt sind. 
Dies kann notwendig sein, xxm die Kompatibilitat mit vorhandenen 
Hardware- oder Softwareeinrichtungen an i und/oder j auf recht- 
zuerhalten. Diese Schiassel massen Jedoch so "markiert" sein, 
daB bei der Verwendung dieser Schiassel zum elektronischen Ex- 
port und Import von Schlusseln (mittels GKS, RFMK und RTMK) die 
Steuervektoren abgetrennt werden wie von der CA vorgeschrieben • 
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HINWEIS: Werden Steuervektoren in der Chif f riervorrichtung in- 
tern und wie durch den gemeinsamen Chif frierfunktionssatz def i- 
niert benutzt, ist bereits ein Verfahren zur "Markierung" der 
KEKs (wie unter Punkt "b" gefordert) f estrgelegt: . Andernfalls muB 
die "Markierung" auf andere Weise erfolgen. 

Format: fOr die elektronische Obermitliluna von s chltisseln mii:- 
tels Steuervektioren 

Alle Schiassel, die auf elektronischem Weg von einer Chiff- 
riervorrichtung, einer Schlxlsselgenerierungsvorrichtimg, einer 
Schlusselverteilungsvorrichtung oder einer Schlusselumwand- 
lungsvorrichtung an eine empfangende Chif f riervorrichtung gesen- 
det werden, mCissen laittels des im folgenden beschriebenen For- 
mats chiffriert werden; 

Angenommen, 

*KEK = 128-Bit-Schlussel, den die sendende und die emp- 
fangende Vorrichtung zum Zweck der tibermittlung 
von Schiasseln von der sendenden an die empfan- 
gende Vorrichtung teilen 

C = 64-Bit-Steuervektor 

K = zu libertragender 64-Bit-Schlttssel 

Kl,K2 = zu tlbertragender 128-Bit-Schlussel 

Dann gilt fur Schlussel einfacher und doppelter Lange folgendes 
Format : 



Zu CLbertragender Schiassel 


Schias s e 1 format 


K 


e*KEK.C(K)K 


K1,K2 


e*KEK.C(Kl), e*KEK-C2(K2) 


Ecfitpkoll fQr Kopps^tibij.ii;St 
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Das CA-Obertragungsprotokoll definiert zur Wahrung der Kompati- 
bilit:St mit: vorhandenen IBM Verschltisselungsprodvikten wie 
3848/CUSP, PCF imd 4700 auch einen Standard-Steuervektior , der 
aus 64 Nullen bes-teht. In diesem Obertragungsmodus konnen 
SchlQssel mit einem Null-Steuervektor (d.h. effektiv ohne 
Steuervektor) gesendet und empfangen werden. In diesem Fall wird 
ein Schiassel K nicht in der Form eKEK«C(K) Obertragen, sondem 
in der Form eKEK(K) • 

Meldunasformate 

Das CA-Ubertragungsprotokoll erlaubt die Obertragung chiff- 
rierter Schlussel in zwei Formaten. Es wird davon ausgegangen, 
daB die gesendete Information in einer Meldung enthalten ist. 
Das Obertragungsprotokoll enthSlt gegenwartig keine Definition 
far Meldungsf ormate , da es zahlreiche mdgliche Meldungsf ormate 
geben konnte, die aufgrund von Anf orderungen , die in diesem Do- 
kument nicht vorhergesehen oder definiert werden konnen, akzep- 
tabel Oder wanschenswert sind. Das Ubertragungsprotokoll defi- 
niert nur die Information, die in einer solchen Meldung gesendet 
werden muB, je nachdem, welches Format gewShlt wird. 

Erstes Format: 

- a. F\ir 64-Bit-K: C, e*KEK.C{K) 

- b, Fttr 128-Bit-K1,K2: C, e*KEK.C(Kl), e*KEK.C(K2) 

Zweites Format: 

- a. Far 64-Bit-K: e*KEK.C(K) 

- b, FOr 128-Bit-K1,K2: e*KEK.C(Kl), e*KEK.C(K2) 

HINWEIS: Der Sonderfall CV = 0 wird von den obigen beiden For- 
maten ebenfalls erfaBt. 
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Erstes Format: - itiit SteuenvekiiQT' 

Das erste Format gilt fOr den Fall, daB der Steuervektor zusam- 
men mit dem chiffrierten SchlUssel tibertragen wird. Da eine emp- 
fangende Chif f rieranwendiing oder ein empf angendes VerschlUsse- 
lungsprogramia immer wissen muB, fOr welchen Zweck der empfangene 
Schlussel bestimmt ist, kann der Steuervektor ein nutzliches und 
kompaktes Mittel sein, alle erf order lichen Infonaationen uber 
die Verwendung des Schliissels von einer sendenden an eine emp- 
fangende Station zu Qbermitteln. DarQber hinaus kann ein empf an- 
gener Steuervektor anschlieBend vom empfangenden Anwendungspro- 
gramm an das Verschiasselungsprogramm (z.B. IBM CUSP) libergeben 
werden, und von somit abhangig davon, wie die Funktion RTMK im- 
plementiert ist, direkt als Parameter der Funktion RTMK vom Ver- 
schiasselungsprograrom an die Chif f riervorrichtung (d.h* die 
Hardware) fibergeben werden. Die Verwaltung des Steuervektors 
durch die Software (d.h. das CFAP) ist so wahrscheinlich weniger 
komplex • 

Zweites Format ~ ohne Steuervektor 

Beim zweiten Format sind zwei FSlle mdglich. Im ersten Fall ha- 
ben die sendende und die empf angende Station vorher keine Ver- 
einbarung Uber die Rekonstruktion des Steuervektors getroffen. 
In diesem Fall fuhrt die empfangende Station eine Folge vorge— 
schriebener Schritte zur Rekonstruktion des Steuervektors aus, 
wobei bestimmte Standardwerte f dr den Steuervektor benutzt wer- 
den. Im zweiten Fall haben die sendende und die empfangende sta- 
tion vorher eine Vereinbarung fiber den Steuervektor getroffen. 
In diesem Fall rekonstruiert die empfangende Station den Steuer- 
vektor nach dem zuvor vereinbarten privaten Regelsatz. 

Der grundlegende Unterschied zwischen dem ersten und dem zweiten 
Fall des zweiten Formats besteht darin, daB die empfangende Sta- 
tion den Steuervektor im ersten Fall mit Hilfe von vom Herstel- 
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ler angegebenen St:andardannaliiaen rekonstruiert ^ und im zweiten 
Fall mit Hllfe eines privat vereinbarten Regelsatzes. 

Steuervektorspezifikation 

Die Steuervektorspezif ikation fiir die IJbertragung entspricht der 
im Abschni^-t "Schiasselverwaltung" beschriebenen internen Steu- 
ervektorspezif ikation. Dies bedeutet, daB die durch die CFAP- 
Makrodef initionen und CF-Anweisungen vorgegebenen Regeln fOr die 
Erstellung und Anderung von Steuervektoren ebenfalls in beiden 
Fallen identisch sind. Diese Regeln sollen die reibungslose Re- 
konstruktion von Schltisseln erleichtern, Der Leser wird daran 
erinnert, daB bei der Schiasselrekonstruktion durch Dechiffrie- 
rung jedes Bit im Steuervektor exakt den gleichen Wert haben muB 
wie ursprunglich ftir die Chiffrierung des Schltissels angegeben. 

Dabei handelt es sich im wesentlichen um folgende Regeln: 

- Im allgemeinen ist das CFAP fUr die Erstellung aller 
steuervektoren zustandig, und in manchen Fallen auch ftir die 
Prufung/Erzwingung bestimmter Bitwerte im Steuervektor. Die 
Chif friervorrichtung ist in der Regel fOr die PrQfung/Erzwin- 
gung der Bitwerte im Steuervektor zust&idig. 

- Bei der Erstellung eines Steuervektors mussen alle Bits im 
Steuervektor angegeben werden. Dabei wird f olgendermaBen vor- 
gegangen : 

— Alle reservierten Bits werden auf Null gesetzt. (Dies ist 
leicht zu erreichen, indem anfdnglich CV = 0 gesetzt 
wird.) 

— Die Antivariantenbits Oder die feststehenden Bits werden 
gesetzt • 

— Die tibrigen Bits mit Ausnahme der 8 Paritatsbits (d.h. 
die unter der Architektur definierten Paritatsbits) wer- 
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den durch die Paraiaeterwerte geset:zt, die von der Anwen- 
dtmg im sogenannten CFAP-Hakro Oder geiaSB den im Makro 
vorgegebenen Si:andardwerten angegeben werden. 

- Wenn ein Schlttssel in der Form eKEK*C(K) von einem Sender an 
einen Empf anger Obertragen wird, wobei C nicht: der Sonderfall 
CV = 0 ist und nicht mit Obertragen wird, sind beim Empf anger 
folgende S-tandardwerte fQr den Steuervektor definiert: 

— Standard-CV-Version = 0 

— Standard-Schlusselart = "Datenschliissel" 

— Standard-Exportkontrolle = "0000", d.h. ohne Beschrankung 

— Bei Schltisselart; = "Datenschiassel" : Standard-Ver- 
wendiingsbi-bs = "1100", d.h. E und D 

— Bei Schltisselar't = "KEK/Sender" : Standard- Ziel system = 
"00", d.h. "CV Oder CV = 0", Standard- Verwendungsbits = 

"1111", d.h. ohne Beschrankung 

— Bei Schlusselart = "KEK/Empf anger" : Standard-Zielsystem = 
"00", d.h, "CV Oder CV = 0", Standard-Verwendungsbits = 
"11", d.h. ohne Beschrankung 

— Bei Schlusselart = "PIN/Chif f rieren" : Standard-Ver- 
wendimgsbits = "010101", d.h. FXN-Block SchlUssel ein und 
Schllissel aus reformatieren und PIN CLberprtif en • 

— Bei Schiasselart = "PIN/Generieren" : Standard-Verwen- 
dungsbits = "01", d.h. PIN viberprufen. Diese 
Standardwerte sollten in den Anweisungen GKS, RFMK, 
XLTKEY, KGEN, EMK und RTMK verwendet werden. 

- Von der CA vorgegebene CV-Standardwerte 

Bekannt Unbekannt 

Nichts Ob Sender ein CV 

System ist 



Zu verwendende 

Werte 

CV = 0 
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Sender ist cv- 
Sys-tem 

Sender Is't CV- 
Sys-texQ 

Sender ist CV- 
System 

CV-Art = DATA 
CV-Art = PINE 
CV-Art = PING 
CV-Art = KEKS 



CV-Art = KEKS 



CV-Art = KEKR 



CV-Art = KEKR 



CV-Art = KEYP 



CV-Art = IICV 



CV-Versionsnuimaer 

Reservlerte Bits 

CV-Art 

Attribute 
Attribute 
Attribute 
Attribute 

Zielsystem 
Attribute 
Zielsystem 
Attribute 



(keine Attribute 
vorhanden) 



Version = 00 

lauter binSre 
Nullen 

CV-Art = "Da ten" 
E D 

RPB-I RPB-0 VP 

VP 

6KS-LR GKS-RR 
RFMK XLT-0 

CV Oder CV = 0 

RTMK XLT-I 

CV Oder CV = 0 

(keine Standard- 
werte) 
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Speicheruna der Schlussel 

Alle SchlCkssel auBerhalb der Chif friervorrichtung werden in 
chif frierter Form verwaltet. Die Chif frieriing erfolgt unter ei- 
nem Schiassel, der durch EXKLUSIV-ODER-Verkntipfung eines Steuer- 
vektors mit dem HauptsclxlUssel gebildet wird. 

AuBerhalb der Chif friervorrichtung gespeicherte chif frierte 
Schldssel kdnnen wahlweise zusammen mit dem zur Chif frierung des 
gespeicherten Schltissels verwendeten Steuervektor gespeichert 
werden. Die Speicherung des unchif f rierten steuervektors ist 
jedoch nicht erf orderlich, solange dieser anhand anderer rait dem 
Schliissel gespeicherter Informationen oder aus dem Kontext, in 
dem der chif frierte Schlussel benutzt wird, dynamisch rekonstru- 
iert werden kann. 

Alle generierten und importierten Schldssel werden im Massen- 
schliisselspeicher auBerhalb der Chif friervorrichtung chif friert 
und gespeichert. Der Schliisselspeicher ist in zwei separate Be- 
reiche xinterteilt: KKDS (KEK-Datei) und DKDS (Datenschlusselda- 
tei). Zwischen diesen beiden Speicherbereichen wlrd unterschie- 
den, well in der CA die Datenschiassel und die Schiasselchif f- 
rierschliissel (sowie die PIN-SchltLssel ) mit verschiedenen Hecha- 
nismen verwaltet werden. 

Chif frierte Schldsselchif f rierschltissel , PIN-Chif f rierschlussel 
und PIN-Generierungsschiassel k6nnen in einer KKDS gespeichert 
und Ober nicht geheime SchlQsselkennsStze adressiert werden. 

Chiffrierte DatenschlQssel k5nnen in einer DKDS gespeichert wer- 
den. Datenschldssel kdnnen auch unchif friert in der Chif frier- 
vorrichtung gespeichert werden, sofern die auf diese Schliissel 
zugreifenden Anwendungen daftir geheime Token-Werte mit ca* 56 
unabhSngigen geheimen Bits verwenden. Zusdtzliche Sicherheit fur 
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die in der DKDS gespeichert:en chiffrierten Schlussel kann er- 
reicht werden, indera jeder chiffrierte Schltlssel durch EXKLUSIV 
ODER mit einer Maske verknapft wird^ die einer Einwegfiinktion 
des zum Zugriff auf den chiffrierten Datenschlussel verwendeten 
Tokens en-tsprichi:. 

In Fig. 73 ist die KKDS mit einigen KEK-Eintrfigen dargestellt. 
Jeder Schiasselchif f rierschlilssel (hier als KEKi bezeichnet) 
besteht aus zwei 64 Bit langen Schiasselhaiften und wird in Fona 
von zwei 64-Bit-Schltisselhaiften chiffriert und gespeichert . Die 
erste HSlfte ist die Chiffrierung der linken SchlUsselhalfte 
(KEKiL) unter deia durch KM XOR CL gebildeten Schlttssel, wobei CL 
der KEKiL zugeordnete Steuervektor ist. Entsprechend ist die 
zweite HSlfte die Chiffrierung der rechten Schiasselhalfte (KE- 
KiR) xinter deia durch KM XOR CR gebildeten SchlUssel^ wobei CR 
der KEKiR zugeordnete Steuervektor ist. Die Steuervektoren CL 
und CR sind bis auf den Wert im Schlussel formf eld identisch; 
dort wird angegeben, ob es sich um die rechte oder um die linke 
naifte handelt. 

HINWEIS: Ist KEKi ein kurzer SchlUssel (d.h. ein Schliissel ein- 
facher LSnge), wird er dennoch in Form von zwei 64-Bit-Half ten 
gespeichert. In diesem Fall sind die beiden HSlften identisch, 
da KEKiL = KEKiR und CL = CR = C ist. Die Kopplung der beiden 
SchlUsselhSlften mit dem entsprechenden Steuervektor, der an- 
gibt, um welche Schltisselhaifte es sich handelt, ist zum Schutz 
vor Angriffen, die als "Schiasselhalf tenverdopplung" bekannt 
sind, unbedingt erf orderlich. Wenn es keine derartige Kopplung 
gibt, kann ein Gegner eine chiffrierte Halfte durch die andere 
ersetzen (d.h. eine Schiasselhaifte verdoppeln) , so daB die bei- 
den Half ten des chiffrierten SchlUssels identisch sind. Er kann 
dann Chif f rieroperationen mit der SchlQsselhSlfte durchfOhren, 
um die Suche nach der Schltisselhdlf te zu erschopfen. Anschlie- 
Bend geht er mit der anderen SchliisselhSlf te ebenso vor. Im we- 
sentlichen ist der Arbeitsfaktor eines langen SchlQssels nun auf 
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die GrdBenordnung des Arbei-tsf aktors eines kurzen Schliissels 
reduzier't. 

Bel alien Chif frieropera-tionen ruft: das CFAP die chif frier-ten 
SchlQssel aus dem Schliisselspeicher ab und ubergibt: sie an die 
auszufClhrende Anweisung. Diese SchlQssel werden von der Anwei- 
sung nur innerhalb der CF dechiffriert und benutzt. Sie er- 
scheinen niemals unchif frlexrt aufierhalb der CF. 

HXNWEXS: Die melst:en Schlusselverwal-tungsanweisungen , die in der 
Regel mi'b Schlvisselchif frierschlQsseln arbeiten, rolissen zweimal 
aufgerufen werden, um beide HSlften eines SchlQsselchif f rier- 
schlussels doppelter LSnge abzuarbeiten bzw. zu erzeugen. Jeder 
Aufruf verarbeitet Oder erzeugt eine Halfte des Schiasselchif- 
f rierschlCkssels • Das CFAP Oder die Anwendung muB deshalb geeig- 
net:e Paraiaeterwerte (wie die chiffrierte Schiasselhdl£t:e und den 
zugeordneten Steuervek-tor mit: dem rich1:igen Wert iia Schiassel- 
foriDfeld usw. ) angeben, um korrekte Ergebnisse zu erzielen. 

In Systemen mit hohem Durchsatz, wo h^ufig auf SchlQssel zuge- 
griffen wird^ kdnnen Cache-Mechanismen Implementiert werden, um 
die Zugrif fsgeschwindigkeit zu erhdhen. 

Anqrigg^ vpn aufi^xx Qdey vqti inmn 

Die SchlQsselverwaltung hat das Ziel, Schutz vor Angriffen von 
auBen und vor bestimmten Angriffen von innen zu gewShren. 

SchlQsselverwaltuna aemgiB ANSI X9.17 

Die SchlQsselverwaltung soil neben der Schltisselverwaltung gemSB 
ANSI X9.17 existieren k6nnen, ohne die Sicherheit einer der bei- 
den SchlUsselverwaltungen zu beeintrachtigen . 

Kompatibilitat mit vorhandenen Produkten 
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Die Kompa'blbllitat: mit vorhandenen Prodiakten wie z.B, IBM 
3848/CUSP wlrd auf zwel Ebenen reallslert:. Elne Komblnatlon von 
KGEN, RTHK und RFMK erlaubt: die Erzeugung von DatenschlUsseln in 
vier verschiedenen Formen, die direJct den vier verschiedenen 
Formen en^sprechen, die mit: dem derzeitigen GENKEY-Makro des IBM 
3848/CUSP erzeugt: werden kdnnen. Urn beispielsweise bei der Gene- 
rieamng eines Sitztingsschltissels mit dem IBM 3848/CUSP kompati- 
bel zu sein, kann mit der Funktion KGEN eine Zufallszahl gene- 
riert werden, die als unter dem Hauptschiassel chiffrierter Sit- 
zungsschiassel aufgefaBt wird. Dieser kann dann mit der Funktion 
RFMK an andere Knoten gesendet werden. Entsprechend kann ein 
Dateischliissel auf kompatible Weise generiert werden, indem zu- 
erst mit KGEN eine Zufallszahl erzeugt wird, die als unter einem 
Dateihauptschiassel chiffrierter Dateischliissel aufgefaBt wird, 
und dieser dann mit der Funktion RFMK in einen unter dem Haupt- 
schiassel chiffrierten Dateischliissel zur Verwendung im System 
umgewandelt wird. Die Funktionen RTMK und RFMK erlauben effektiv 
einen Spezialfall des Imports und Exports von Datenschltisseln 
mit einem Steuervektor aus 64 Nullbits (d.h. ohne Steuervektor) • 

Software-Schnittstelle 

Das CFAP bildet die Anwendungsschnittstelle zur Chif friervor- 
richtung. Die Schnittstelle kann in Form von Makros oder Unter- 
programmaufrufen implementiert sein und eine SchlUsselspeicher- 
Verwaltungskomponente enthalten, die die Speicherung und den 
Abruf der in einem Schltisselspeicher gespeicherten Schllissel 
CLbernimmt. 

jgffhJLQsff^lYeyw^ltung gem^g AWS?: X9fr3.7 
- ANSI-Knotenarchitektur 



HA9-88-011 



241 



In Fig. 74 sind die wichtigsten Komponenten eines ANSI X9,17- 
Knotens dargestellt. Diese Architektur basiert auf den eleiaen- 
-taren Systemdiagramiaen in Fig. 1, 2 und 3. 

Die ANSI-*Schiasselverwaltung ist ein Anwendungsprogramm , das die 
Chif frierservicefunktionen des CFAP benutzt, uia Schiassel zu 
generieren, importieren und exportieren und um die Identifika- 
-tion von Chif frierservice-Meldungen (CSMs) zu Qberprufen. CSMs 
sind nach ANSI X9.17 definiertie Meldungen zum Aust:ausch von Ver- 
schiasselungsiDat:erial Oder zugehdrigen Infonaa-tionen zwischen 
komiaunizierenden ANSI-Knot:en • 

Das CFAP verwendet die Servicefunktionen einer Schlxisselspei- 
cherverwaltung zum Zugriff auf ANSI-Schliissel, die auBerhalb der 
Chif friervorrichtting (CF) gespeichert sind. Der Speicherbereich 
ist: als SchltLsselspeicher bekannt. Solche Schldssel werden inmer 
in einer un^er dem Systiexnhauplischiassel (KM) in Verbindung mit 
einem zugeh5rigen St:euervek^or chiffrierten Form gespeichert:. 
Die CF stent dem CFAP die elementaren Chif f rierfunktionen 
(Chif f rieren, Dechif frieren, MAC-Generierung usw. ) zur 
Verftigung. AuBerdem stellt sie in begrenztem Umfang internen 
Speicher fOr den unchif frierten KM und einige Arbeitsschliissel 
zur Verf(igung. 

Die ANSI-SchlUsselverwaltung nutzt die vom System bereitge- 
stellten Obertragxingsservicef unktionen (z*B. VTAM oder Gerate- 
treiber) zum Senden und Empfangen von CSMs zu bzw. von anderen 
ANSI-Knoten. 

- Funktionsschnittstellen von ANSI-Knoten 

In Fig. 75 sind einige Funktionsschnittstellen zwischen Kompo- 
nenten eines ANSI-Knotens dargestellt. Die ANSI-Schliisselverwal- 
tving greift durch Makroaufrufe auf CFAP-Servicef unktionen zu. 
Das CFAP benutzt zum Abrufen und Speichern von ANSI-Schliisseln 
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Funktionsaufrufe der Schlusselspeicherverwaltung. Die Schlussel- 
speichezrve3rwalt:ung vexrwendet: seinerseits System-E/A-Servicef unk- 
tionen (oder Speicherzugrlf fsanweisungen) zuia Abrufen/Spelchern 
der angefordeirten Schiassel aus dem als SchlUsselspelcher be- 
zeichneten Sekundarspeicher (oder Primarspeicher) . Die Schlus- 
selspeicherverwal-tung kann auch fur das CFAP die Schldsselinte- 
gritSt prtifen. Jeder Schlusselein-bragssatiz iia Schlusselspeicher 
kann aus einem Kennsat:z, dem chiffrierten SchlCkssel, dem expli- 
zlten Steuervektor (CV), unter dem er gespeichert ist, den Sen* 
de- und Empf angszShlern (nur bei KEKs) und anderen schiasselbe- 
zogenen Parametern bestehen. Das CFAP verweist zur AusfQhrung 
elementarer Chif frierfunktionen auf CF-Anweisungen. 

- Schlilsselverteilungsumgebungen 

ANSI X9.17 tinterstvitzt im wesenUichen drei SchlQsselvert:ei- 
lungsumgebungen: Punkt-zu-Punkt-Umgebungen, Schlusselvertei- 
lungszentren und Schlusselumwandlungszentren. 

— Punkt-zu-Punkt-Umgebung (P-P) 

In dieser Umgebung will ein Knoten (Knoten B) mlt einem anderen 
Knoten (Knot:en A) kommunizieren, kann aber kelne Da'tenschltissel 
generleren oder abrufen. £s wlrd jedoch angenommen, daB die Kno- 
ten A und B bereits einen manuell installierteh Schiasselchif- 
frierschltissel (*)KKab gemeinsam haben. (Die Notation be- 
deutet, daB es sich um einen Schlussel einfacher Lange, KK, oder 
urn einen Schiassel doppelter Lange, *KK, handeln kann.) Knoten A 
generiert auf Anfrage von Knoten B einen oder mehrere SchKissel, 
speichert ein lokales Exemplar und gibt die unter (*)KKab chif- 
frierten Duplikate an Knoten B weiter. 

In Fig. 76 sind zwei ANSI-Knoten in einer Punkt-zu-Punkt-Umge- 
biing dargestellt. Die Knoten besitzen einen gemeinsamen 
SchltLsselchif frierschlQssel *KKab, der zusammen mit den be- 
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treffenden Sende- und Empf angszShlern Im Schiasselspeicher bol- 
der Kno1:en gespeichert ist. Es is't zu beachten, daB 
e*KM.Cl(*KKab) t:at:sSchllch als e*KM.Cl(KKabl) , e*KM.Cl(KKabr) , 
also llnke und rech^e 64 Bit von *KKab gespeichert 1st, Der Im 
Schlusselspelcher gespelcherte Datensatz fur dlesen Schltissel 
kcuin auBerdem andere schltisselbezogene Parameter enthalten. 

In dlesem Dlagrasmi ist elne Folge von CSM-Obertragungenln elner 
Punkt-zu-Punkt-Schlfisselvertellungsumgebung dargestellt • Knoten 
B fordert von Knoten A mlttels RSI ( Service- Initlallslertmgsan- 
forderung) einen oder mehrere Schiassel an. Knoten A sendet 
den/dle angef orderten Schlussel mittels KSM (Schlusselservice- 
Meldung) an Knoten B, und Knoten B quittlert den Empfang mlt 
elner RSH (Antwort-Servlcemeldung) . Andere CSH-Transaktlonen 
slnd In der Punkt-zu-Punkt-Umgebung ^nllch deflnlert, damit 
Anforderiingen zur Fehlerbehandlung und zur Nlcht-Welterverwen- 
dung von Schlusseln untersttitzt werden. 

Angenonuaen , Knoten B fordert von Knoten A elnen elnzelnen Daten- 
chif frlerschiassel KD an. Das Meldungs format elner mogllchen RSI 
ftLr. dlese Anforderung sieht dann folgendermaBen aus: 

CSM(MCL/RSI 
RCV/KnotenA 
ORG/KnotenB 
SVR 

EDC/aKDX(MCL/RSI ... SVR/)) 

HINWEIS: aKDj(X) steht far den Meldungs-Identlf Ikatlonstiberprfl- 
fungscode (MAC) von X mittels SchlUssel KDj. KDX 1st eln Sonder- 
fall von KDj: der f eststehende, nlcht gehelme HexadezlmalschlCLs- 
sel '0123456789ABCDEF' . 

Knoten A generlert den elnzelnen KD, chlffrlert Ihn unter dem 
mlt Knoten B gemelnsamen *KKab, unter zleht Ihn elnem Offset mlt 
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dem *KKab zugeordneten SendezShler und bildet die an den Knoten 
B Obermlttelte KSM: 

CSM(MCL/KSM 
RCV/KnotenB 
ORG/KnotenA 

KD/e*KKab+Send_Ctr_*KKab ( KD ) 
CTP ( Send_Ctr_*KKab 

MAC/aKD(MCL/KSM CTP/Sena_Ctr_*KKab) ) 

Hier ist e*KKab+Send_Ctr_*KKab(KD) der Chiffretext, der durch 
dreifache Chiffriening von KD unter dem durch Offset von *KKab 
mit dem aktuellen Sendezahleirwert Send_Ctr_*KKab gebildeten 
Schlfissel entstanden ist. Die Of f set-Funktion wird in Abschnitt 
7,4 von ANSI X9. 17-1985 beschrieben. 

Knoten B empfangt die KSM, extrahiert das KD/-Feld, rekonstiru- 
iert den neuen KD und speichert ihn unter dem HauptschlUssel von 
Knoten B im Schlusselspeicher . AnschlieBend formuliert Knoten B 
folgende Quittierungs-RSM an Knoten A: 

CSM(HCL/RSM 
RCV/KnotenA 
ORG/KnotenB 

MAC/aKD(MCL/RSM . . . ORG/KnotenB) ) 
- Schiasselverteilungszentrum (KDC) 

In Fig. 77 sind drei ANSI-Knoten in einer KDC-Umgebung darge- 
stellt. 

In dieser Umgebung will ein Knoten B mit einem Knoten A kommuni- 
zieren, mit dem er keine SchlUssel gemeinsam hat. Es wird jedoch 
angenommen, dafi Knoten B einen manuell installierten SchlQssel- 
chiffrierschlQssel (*)KKbc mit Knoten C gemeinseua hat, der als 
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Schlusselver'beilungszen'trim funglert. Ferner hat: Knot:en C einen 
manuell Ins-tallierten Schltlsselchlf frierschiassel (*)KKac mit: 
Kno-ken A gemeinsam. Kno'ten A tiberglbt die SchlCLsselanforderung 
von Knoten B an Knoten C, der zwei doppelte Schlusselsatze gene- 
riert. Der erste Satz wird unter (*)KKac chiffriert, der zweite 
unt:er (*)KKbc. Beide SSiize werden dann an Knot:en A zurQckgesen- 
det. Kno'ten A rekonstrulerl: iind speichert den ersten Schiassel- 
satz und gibt den zweiten an Knoten B welter. Knoten B rekon- 
struiert und speichert seinen Schltisselsatz genauso* 

*- Schltisseluiawandlungszentrum (KTC) 

In Fig. 78 Bind drei ANSI-Knoten in einer KTC-Umgebung darge- 
stellt. 

In dieser Umgebung will ein Knoten B mit einem Knoten A koinmuni- 
zieren, mit dem er keine SchlHssel gemeinsam hat, Es wird jedoch 
angenommen, daB Knoten A SchlQssel generieren oder abrufen kann 
und einen manuell installierten Schiasselchif frierschiassel 
(*)KKac mit Knoten C gemeinsam hat, der als Schltisselumwand- 
lungszentrum fungiert* Ferner hat Knoten C einen manuell instal- 
liert:en Schiasselchif frierschlQssel (*)KKbc mit Knoten B gemein- 
sam.. Knoten A generiert den angef orderten Schlusselsat:z , spei- 
chert ein lokales Exemplar, und sendet ein unter (*)KKac chif- 
friertes Duplikat aji Knoten C. Knoten C rekonstruiert den 
Schlfisselsatz , chiffriert ihn unter (*)KKbc um und sendet den 
umgewandelten Schiasselsatz an Knoten A zuruck. Knoten A sendet 
den SchlQsselsatz an Knoten B, wo er rekonstruiert und gespei- 
chert wird. 

- SchlCisselverteilungsszenarien 

Im folgenden werden die in ANSI X9.17 definierten SchlUsselver- 
teilungsszenarien kurz umrissen. Die Szenarien werden tabella- 
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risch dargestellt, und zwar einmal fiir Schliisselchif f- 
rierschiassel und elniaal fur Datenchif f r ierschltissel . 

jede Tabelle ist in drel Umgebungen untergliedert:: Punkt-zu- 
Punkt-Umgebung , Schlusselumwandlungszentrum und Schlfisselvertei- 
lungs z en t rum. Ftir jeden SchlQsselaustausch trifft nur eine Umge- 
bung zu. Ein Szenario fQr elne bestiimnte Umgebung wird iia all- 
gemeinen von links nach rechts und von oben nach unten dar- 
gestiell'k. Wo Wahlrndgllchkei-ken vorhanden sind, wird die be- 
treffende Spalte horizontal unterteilt^ so daB die Auswahl und 
das entsprechende Ergebnis abgelesen werden konnen. Die CA un- 
terstutzt nicht alle ANSI X9 . 17-Optionen . Nicht unterstatzte 
Optionen sind in der Spalte "SUP?" mit "N" gekennzeichnet . 

Die Spalten haben folgende Bedeutung: 

— ENV ANSI X9.17-Schlfisselver1:eilungsuiQgebung: Punkt- 

zu-Punkt, SchiasselverteilungszentruiD Oder 
Schlusselumwandlungszentrum . 

— NOD Teilnehmer am Verteilungsszenario. Der Konvention 

entsprechend ist Knoten B typischerweise der jeni- 
ge, der den SchlUssel zuerst anfordert, Knoten A 
ist derjenige, von dem der Schlfissel angefordert 
wird, und KTC Oder KDC ist das unterstutzende 
SchlOssel zentrum • 

— RCVS Schiasselart (KK, *KK, KD Oder KDmac, ein 

temporarer MAC-Schlussel) eines von NOD emp- 
fangenen Schlussels. 
FROM Teilnehmer, der den empfangenen Schiassel 

generiert oder umgewandelt hat; X via Y be- 
deutet, daB X den Schiassel tiber den Knoten Y 
an NOD weitergibt. 

— UNDR^ KEK einfacher oder doppelter Lange, unter dem der 

Schiassel empfangen wird; hochgestellte Klein- 
buchstaben bezeichnen die Knoten, die den glei- 
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Chen KEK besitzen (a ist Knoten A, b ist Knoten 
B, c ist das SchlOsselzentriUQ) ; ein Offset ist 
ixnplizit; eine Beglaubigung wird durch die 
Schiasselform (*)KNxy dargestellt; '"neu" bezeich- 
net einen neuen KEK fQr den empfangenen Schliis- 
sel* 

GENS Schliisselart eines von NOD generierten 

Schiassels (KK, *KK, KD Oder KDmac) . 

STORES die Form des empfangenen Oder generierten 

Schiassels, der in NOD gespeichert werden soli; 
KK//KK bezeichnet die Verdopplung eines Schlus* 
sels KK einfacher Lange zu einem KEK mit Pseudo- 
Doppellange; (temp) steht fur nur teiaporSre Spei- 
cherung: dieser Schltissel wird nur fiir die Ver- 
arbeitung von CSMs gespeichert. 

UNDR^ Schlussel, unter dem der exapfangene oder 

generierte Schltissel in NOD gespeichert werden 
soil; in der Regel in der Form KMx, d.h. Haupt- 
schlussel von Knoten X (a ist Knoten A, b ist 
Knoten B, c ist das Schliisselzentrum) ; die Steu— 
ervektorvariation ist implizit. 

SNDS die Form des generierten Oder umgewandelten 

Schlussels, der an den durch TO angegebenen Kno- 
ten gesendet wird. 

TO Knoten, an den der generierte oder umgewandelte 

Schlussel gesendet wird; "X via Y" bedeutet, daB 
NOD den Schlussel uber Knoten Y an Knoten X sen- 
det; "X und Y" bedeutet, daB NOD den Schltissel an 
X und Y sendet (unter verschiedenen KEKs). 

UNDR* KEK einfacher oder doppelter Ldnge, unter dem der 
generierte oder umgewandelte Schiassel gesendet 
wird; ein Offset ist implizit; eine Beglaubigung 
wird durch die SchlOsselform (*)KNxy dargestellt; 
"KKl und KK2" bedeutet, daB der Schltissel unter 
zwei verschiedenen KEKs an die unter TO 
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aufgefOhrten Knoten gesendet wird; "neu" bezeich- 
net einen neuen KEK ffir den generiert:en oder uxn- 
gewandelten SchlQssel. 
— SUP? gibt an, ob die CA-Implementierung von ANSI in 
NOD diese Opt:ion des Szenarios unterstatzt. 

- Verteilung von *KK 

Der Austausch von Schiasselchif frierschiasseln ist in Fig. 79 in 
einer Tabelle zusammengef aBt: • 

- Verteilung von KDs 

Der Austausch von Datienschiasseln ist in Fig. 80 und Fig. 81 in 
einer Tabelle zusammengef aBt . 

- Anweisungssatz zur UnterstCLtzung von ANSI X9,17 

- 1. Zur Unterstatzung von ANSI X9.17 wurden der CA die fol- 

genden neuen Anweisimgen hinzugef Ugt: 

— ANSI Partielle Beglaubigung eines Schiassels (APNOTR) 

— ANSI Umchiffrieren vom Hauptschiassel (ARFMK) 

— ANSI Umchiffrieren unter Hauptschiassel (ARTMK) 

— ANSI Schlvissel umwandeln (AXLTKEY) 

— ANSI Datenschiassel kombinieren (ACOMBKD) 

- 2. Zur Unterstatzung von ANSI X9.17 sind die folgenden be- 

reits vorhandenen CA-Anweisungen erforderlich: 

— Schlxissel generieren 

Es wurde eine Erweiterung der Anweisung "Schiassel 
generieren" hinzugefttgt, damit Steuervektoren der Art 
ANSI/KEK verarbeitet werden konnen. 

— Chiffrieren 
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Keine Anderung erf order lich. 

— Dechlffrieren 

Keine JLnderung erf order lich, 

— MAC generieren 

Keine Anderung erf order lich. 

— MAC tiberpruf en 

Keine Anderung erf order lich . 

OberlecrunaQn zum Aufbau 
- Offset und Beglaubigiing 

Die Offset-Operation mit einem Schlussel ist der ProzeB der Uia- 
wandlung eines SchlCisselchif frierschiassels (KEK) durch EXKLU- 
SIV-ODER-Verkntipfung des Schiassels mit einem gespeicherten ZSh- 
lerwert. Die Of fset-Fxmktion wird immer zur Umwandlung eines KEK 
vor der Chiffrierung eines Schiassels durch diesen KEK verwen- 
det. 

Die Beglaubigxmg ist ein Verfahren zum Versiegeln von KEKs mit 
den Xdentitaten von Sender und beabsichtigtem Empf anger. Ein 
Beglaubigungsschliissel KN wird gewdhnlich gebildet, indem ein 
Beglaubigungssiegel NS als Funktion des KEK^ der Identitaten von 
Sender und Empfanger und dem Of f set-Zahler tHr den betreffenden 
KEK berechnet wird und NS dann durch EXKLUSIV ODER mit dem KEK 
verknapft wird. Da der Z^hlerwert fUr einen bestimmten KEK mit 
der Zeit anwSchst, wird NS normalerweise bei jeder gewunschten 
Beglaubigung von KEK neu berechnet. 

Da ein bestimmter ANSI KEK immer genau einem Sender und einem 
Empfanger zugeordnet ist, ist NS xind damit auch KN nur von einer 
dynamischen GrdBe abhangig: dem Of f set-Zahler von KEK. Es kann 
daher eine Funktion APNOTR definiert werden, um die statischen 
6r5Ben des KEK (den Schiassel selber sowie die IdentitSten von 
Sender und Empfanger) zur Berechnung eines partiellen Beglaubi- 
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giingsschiassels KN' zu verwenden. KN' kann dann zusammen mit dem 
KBK gespeichert und wenn eine Beglaubigung gewttnscht wird wieder 
abgerufen werden, und dann einfach einer Of fseti-Operation mit 
dem aktuellen Zahlerwert unterzogen werden, um KN zu erzeugen. 
APNOTR wird im Abschnitt "ANSI Partiellen Beglaubigungsschiassel 
erstellen (APNOTR)" beschrieben. 

Der Vorteil dieses Ansatzes besteht darin, daB KN nicht jedesmal 
neu berechnet werden muB, und, was nooh wichtiger ist, daB die 
CA-Punktionen weniger komplex sein kOnnen. so mQssen in den CA- 
Funktionen zum Importieren, Urawandeln oder Exportieren von 
SchlQsseln nicht Beglaubigung und Offset von KEKs unterstiitzt 
werden, sondern es muB nur eine Offset-Operation durchgefOhrt 
werden. Wenn eine Beglaubigung erforderlich ist, wird die par- 
tiell beglaubigte Form des KEK an die betref fende CA-Funktion 
Qbergeben, andernfalls der KEK selber. Unabhfingig davon fQhrt 
die CA-Funktion eine Offset-Operation mit dem angegebenen 
SchlQssel aus, bevor dieser zum Chiffrieren Oder Dechif frieren 
eines Schiassels verwendet wird. 

- ANSI X9 . 17-Untergruppen 

Die in Pig. 79, Pig. 80 und Pig. 81 KK- und KD-Verteilungssze- 
narien enthalten alle in ANSI X9.17 definierten Optionen. Der 
mit 'SUP?' betitelten letzten Spalte jeder Tabelle ist zu ent- 
nehmen, ob diese Option von der CA unterstfitzt wird. 

Bei den derzeit nicht von der CA unterstatzten ANSI-Vertei- 
lungsoptionen handelt es sich van solche, die die Generierung von 
SchiasselchiffrierschlQsseln einfacher Lfinge betref fen. In Fig. 
79 kann ein ANSI-Knoten in der Punkt-zu-Punkt-Umgebung 
beispielsweise einen neuen KK mit einfacher LSnge generierten 
tind an einen ANSI-Knoten B senden. Dabei stehen vier (*)KK-Op- 
tionen zur VerfQgung: KKab, *KKab, KNab oder *KNab. Die Generie- 
rung von KKs einfacher LSnge wird von der CA jedoch nicht unter- 
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statzt. In der Spalte 'SUP?' ist fur die vier ANSI-Verteilungs- 
optionen deshalb 'Nein' eingetragen. 

Aus Griinden der Koiapatibilitat mit Nicht-CA-Knoten unterstutzt 
die CA den Import neuer KKs einfacher LSnge. In Fig. 79 kann 
z.B. ein ANSI-Knot:en B einen KK einfacher Lange iinter vier For- 
men eines anderen (*)KK von einen ANSI-Knoten empfangen: KK€d3, 
*KKab, KNab Oder *KNab. In der Spalte 'SUP?' steht bei alien 
Optionen 'JA', was bedeutet daB sie untersttttzt werden. Es ist 
zu beachten, daB importierte KKs einfacher Ldnge inuner in ver- 
doppelter Form gespeichert werden (d.h. 128 Bits in der Form 
KK//KK) . 

Die Einschrankung bei KKs einfacher Lange hat auch Auswirkungen 
auf die KD-Verteilungsoptionen. ANSI X9.17 verlangt, daB bei der 
Verteilung eines neuen (*)KK mit einem oder zwei KDs die betref- 
fenden KDs unter dem neuen (*)KK chiffriert werden. Da die CA 
die Generierung von KKs einfacher Lange nicht unterstutzt^ wird 
auch die Option zur Verteilung neuer KDs unter einem neuen KK 
einfacher Lange nicht unterstatzt. Ein Beispiel hierfttr ist in 
Fig. 80 bei der Punkt-zu-Punkt-Umgebung fQr Knoten A 
dargestellt. Aus dieser Tabelle ist ersichtlich, daB die KD-Ver- 
teilung unter einem neuen KKab einfacher LSnge nicht unterstiitzt 
wird. 

lev- Verwa 1 tung 

ANSI X9.17 unterstutzt die Verteilung 64 Bit langer einleitender 
Kettungswerte (ICVs Oder IVs) in chiffrierter oder un- 
chiffrierter Form. Es wird ein CA-Makro GENIV definiert, das die 
Generierung und Speicherung von ICVs unterstiitzt. ICVs werden 
zusammen mit den KDs, far die sie benutzt werden sollen", im 
Schlusselspeicher gespeichert. GENIV verwendet die CF-Anweisung 
KGEN zum Generieren einer 64 Bit langen unchif frierten Zufalls- 
zahl RN ohne Parit&tsanpassung. GENIV speichert RN und eine ICV- 
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_Modus-Markierung im SchlOsselspeichereintrag fOr KD. Die 
Icyjiodus-Markierung gibt an, ob RN als chiffrierter ICV Oder 
als unchiffrierter ICV interpretiert werden soli. Legt die Mar- 
kierung fest, daB es sich um einen chiffrierten ICV handelt, muB 
RN vor einer Verwend»ing in den Funktionen "Chif frieren" oder 
"Dechiffrieren" mit Hilfe des Schlttssels KD dechiffriert werden. 
Zur Verteilung des generierten ICV und einer ahnlichen Markie- 
rung, die besagt, ob der lev chiffriert oder nicht chiffriert 
ist, werden die ANSI X9 . 17-Meldungen RTR und KSM verwendet. GE- 
Niv wird auBerden, vom EmpfSnger zur Speicherung des empfangenen 
ICV xm Schiasselspeicher benutzt. Der Empf anger muB selbstver- 
standlich den lcv_>lodus so angeben wie durch die Markierung in 
der RTR- Oder KSM-Meldung vorgegeben. 

CC Bedingungscode 

CA Chiffrierarchitektur 

Steuervektor (kein Zusammenhang mit ICV oder OCV) 

Chif freblockkettung. Ein Chiffriermodus des Datenver- 
schlQsselungss-tandards . 

Dechif frieren, Chif frieren und wieder Dedhif frieren 
Datenverschiasselungsalgorithmus 
Datenverschiasselungsstandard 
ECB Elektronisches Codebuch. Ein Chiffriermodus des DES. 

EDE Chif frieren, Dechif frieren und wieder Chif frieren 

ICV Eingabe-Kettungswert (kein Zusammenhang mit CV) 

KDx DatenschlQssel (x = ganzzahliger Wert) 

KEKX SchlQsselchiffrierschiassel (x = ganzzahliger Wert) 

KM HauptschlQssel 
KMN Neuer HauptschlQssel 

KMO Alter Hauptschlttssel 

KPEx PIN-Chiffrierschiassel (x = ganzzahliger Wert) 

KPGx PIN-GenerierungsschlQssel (x = ganzzahliger Wert) 

KPVx PIN-6berprafungsschlQssel (x = ganzzahliger Wert) 

KKNI Unmittelbarer beglaubigter Schlttssel, 128 Bit 



cv 

CBC 

DED 
DEA 

DES 
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KKNIL 



Linke 64 Bit von KKNl 



KKNXR 



Rechte 64 Bit von KKNl 



KDmac 



Tempordrer MAC-SchlOssel far ANSI-Meldung 

Heldtings-Identifikationsiiberprafungscode 

Anderungserkennungscode 

Ausgabe-Kettungswert 

Personliche Identif ikationszahl (in Verbindimg mit 
ATMs verwendet) 



MAC 



MDC 



OCV 



PIN 



Alaorittimen 



- Codierunas- und DecQdiey unqsalcroyithmen 

Die Anweisungen "Chif frieren" und "Dechif frieren" verwenden den 
ECB-Hodus (elektronisches Codebuch) des DES. In diesem Modus 
gibt es keine Ketttmg und kein Feedback. Die Funktionsweise des 
ECB-Modus bei der Chiffrierung und Dechif frierung ist in Fig. 82 
dargestellt. 

" Verschliisselun asalaorithmug 

Der Chif frier-ZDechiffrieralgorithmus entspricht dem Datenver- 
sohiasselungsstandard (DES) des National Bureau of Standards 
bzw. dem DatenverschlQsselungsalgorithmus (DEA) X9. 92-1981 des 
American National Standards Institute (ANSI). Die Chif f re- 
blockkettung (CBC) erfolgt nach den Vorgaben der Verschliissel- 
ungsmodi gemSB ANSI X9. 106-1983. Der CBC-Modus der Chif frierope- 
ration und der Dechif frieroperation ist in Fig. 83 bzw. Fig. 84 
dargestellt. 

- Meldunas-IdentifikationsQ berprlifuna fMACI 

In Referenz (6), ANSI X9.9 -1986 "American National Standard for 
Financial Institution Message Authentication (Wholesale)" wird 
ein ProzeB zur Identif ikationsfiberprafung der Meldungen von ei- 
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nem Urheber an einen EmpfSnger definiert. Dieser Proze6 ist 
nicht von Obertragungsmedien und Zahlungssys-temen abhangig. 

Der Identif ikationsiiberprlifiingsprozeS iimfaSI: die Berechnung, 
Obertragung und OberprOfung eines Meldungs-Identif ikations- 
QberprQfungscodes (MAC). MAS = C basiert entweder auf dem 
vollst:andlgen Meldungstiext: Oder aus ausgewahl^ten Meldungst:ext>- 
elementen* Der MAC wlrd vom Urheber der Meldung hinzugefUgt: und 
an den Empf finger Obenaittelt. Die Meldung oder die Meldungsele- 
men1:e werden vom Empfanger als echi: akzeptiert:, wenn der gleicbe 
Algorithmus und der gleiche geheime Schiassel einen mit dem emp- 
fangenen MAC identischen MAC ergeben. Die Sicherheit des Ober- 
prtifungsprozesses hangt direkt von der Sicherheit des geheiiaen 
Schiassels ab. 

Die MAC-Generierung ist in Fig, 85 dargestellt. Der in diesem 
Standard beschriebene Algorithmus zur Identif ikationsOberprtifung 
kann entweder mittels des 64-Bit-CBC-Betriebsmodus Oder mittels 
des 64-Bit-CFB-Betriebsmodus gemSB ANSI X3. 106-1983 implemen- 
tiert werden. Beide Modi mQssen so initialisiert werden, daB sie 
aquivalente MACS erzeugen. KEY ist ein 64-Bit-Schlussel , und Al 
bis An sind 64-Bit-Datenbldcke. Bei diesem Standard und CBC-Be- 
triebsmodus mufi als einleitender Kettungswert '0' implementiert 
werden wie in Fig. 85 dargestellt. Ist An kleiner als 64 Bit^ 
werden rechts von den Obrigen Bits Nullen angehangt (aufge- 
ftillt). Die linken 32 Bit von (on) werden als MAC verwendet. 

HINWEIS: Die Ffihigkeit, 48 bis 64 Bit lange MACS zu generieren 
und zu verarbeiten ist wdnschenswert* In dieseh FSllen werden 
die linken 48 Bit oder die gesamte Endausgabe (On) als MAC ver- 
wendet • 

Der Algorithmus beschreibt die MAC-Generierung fur Binardaten, 
Die Meldungs-Identif ikationsuberprdfung fiir "Codierte Zeichen- 
satze" ist gemSB ANSI X9. 9-1986 zu implementieren; der HAC-Algo- 
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rithmus wlrd nach Darst:elliing der Zeichen als Blndrdaten aufge 
rufen. 



MDC"Alqorithmus 



Es gibt zwei MDC-Algorithmen : 

- 1. MDC_2 - Zwel Chiffrierungen pro 8-Byt:e-Eingabedat:en- 
block 

2. MDC_4 - Vier Chiffrierungen pro 8-By1:e-Eingabedat:en- 
block 

Zwei verschiedene Algorithmen geben dem Aufrufenden die Moglich- 
kei-t einer 50-prozent:igen Leis'kxingssteigerung bei nur geringen 
von der Anwendung abhdngigen SicherheitseinbuBen . 

- MDC_2 (Text) 



— 1. Eingabetext mit X'FF' auf ein Vielf aches von 8 Byte 

auf fallen. 

— 2. Den Eingabetext in [n] 8-Byte-B16cke T8[l] bis T8[n] 

aufteilen. 

— 3. Wenn n = 1 ist, dann n = 2 und T8[2] = 8 Bytes mit 

dem Wert x'OO' setzen. 

— 4. Anfangswerte von KDl xind KD2 setzen (siehe unten)* 

— 5. Fiir [i] = l,2,...,n: 

a. MDCOP(KDl,KD2,T8[i] ,T8[i] 

b. KDl : « OUTl 

c, KD2 : = OUT2 

d. Ende der Schleife 

— 6. Die Ausgabe von MDC_2 ist dann der 16-Byte-MDC : = 

(KDl // KD2). 



MDC_4 (Text) 
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— 1. Eingabetext mit X'FF' auf ein Vielf aches von 8 Byte 

auf fallen. 

— 2. Den Eingabetext: in [n] 8-Byte-B16cke T8[l] bis T8[n] 

auftellen. 

— 3* Wenn n = 1 ist, dann n = 2 und T8[2] = 8 Bytes mit 

dem Wert x'OO' setzen. 

— 4. Anfangswerte von KDl und KD2 setzen (siehe unten) • 

— 5. Far [i] = 1,2,. ..^n: 

a. MDCOP(KDl,KD2,T8[i] ,T8[i] 

b. KDlint : = OUTl 

c. KD2int : = OUT2 

d. MDCOP(KDlint,KD2int,KD2,KDl) 

e. KDl : = OUTl 

f . KD2 : = OUT2 

g. Ende der Schleife 

— 6. Die AusgsUse von MDC_4 ist dann der 16-Byte-MDC : = 

(KDl // KD2). 



Die Anfangswerte von KDl und KD2 lauten: 

1. KDl : = X'5252525252525252' 

— 2. KD2 : = X'2525252525252525' 

- BeqlgmlpjLcpingsalgorithmen 



Angenoiamen , KK sei der zur Berechnung des BeglaubigungsschlUs- 
sels verwendete Schiassel. Dann ist: 



KKR = KK + FMl (+ steht far EXKLUSIV ODER, FMl sind die 

ersten 8 Bytes der Senderidentif ikation) 

KKL = KK + TOl (TOl sind die ersten 8 Bytes der Identi- 

f ikation des Empf Angers) 
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NSl = eKKR(T02) (T02 sind die zweiten 8 Bytes der Identi- 

fikation des Empf angers) 
NSr - eKKL(FM2) (FM2 sind die zweiten 8 Bytes der Sender- 

identif ikation ) 

NS = (linke 32 Bit von NSl) // (rechte 32 Bit von NSr) + CT(CT 

ist ein 64-Bit-Zahler fflr KK) 
KN = KK + NS 

KN ist ein beglaubigter SchlOssel zur Chiffrierung eines KD Oder 
eines KK. 

Angenoitimen , *KK sei der zur Berechnung des Beglaubigungsschlus- 
sels verwendete Schiassel. Dann ist: 

*KK = KKl // KKr 

KKR = KKr + FMl (+ steht fttr EXKLUSIV ODER, FMl sind die 

ersten 8 Bytes der Senderident if ikation) 
KKL = KKl + TOl (TOl sind die ersten 8 Bytes der Identi- 

f ikation des Empf angers) 
NSl = eKKR(T02) + CT (T02 sind die zweiten 8 Bytes der 

Identif ikation des EmpfSngers und 
CT ist ein 64-Bit-zahler ftir *KK) 
NSr = eKKL(FM2) + CT (FM2 sind die zweiten 8 Bytes der 

Sender identif ikation) 
*KN = (KKl + NSl) // (KKr + NSr) 

*KN ist ein beglaubigter Schliissel zvir Chiffrierung eines KD 
Oder eines (*)KK. 

Standards und Def initionen 

- Standards 

ANSI X2.92 - 1981 " Data Encryption Algorithm " , 
ANSI X9.106 - 1983 " Modes of PEA Operation ". 
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ANSI X9.2 - 198X " Interchange Message Specification for Debit: 

qn^ CreaAt Card Mesg^g^ Ba^gtie^nqe Among Fiqan- 
cial Instiitutiions ". Dieser Standard definiert 
eine gemeinsame Schnittstelle, Qber die von 
einer Bankkarte ausgehende Meldungen beztlg- 
lich einer finanziellen Transaktion zwischen 
privaten Systeiaen ausgetauscht werden k5nnen« 
Er definiert Struktur, Format und Inhalt der 
Meldungen sowie Dateneleiaente und Werte fdr 
Datenelemente • 

ANSI X9.8 - 1982 ^^American National Stand ard for Personal 

Identification Number TPIN) Management and 
Security " . Dieser Standard legt Standards und 
Richtlinien far die Verwaltung und Sicherheit 
der Lebensdauer von pers6nlichen Identifika- 
tionsnummern (PiNs) fest. 

ANSI X9,9 - 1986 "American National Standard fQr Financial 

Institution Message Authentication fWholesa- 
lei". Dieser Standard definiert ein Verfahren 
zur Identif ikationsiiberprufung von Finanzmel- 
dungen (in Massen) , einschlieBlich Geldtrans- 
fers (z^B. telegraphisch) , Akkreditiven , 
Transfers von Wertpapieren, Kredltvereinba- 
rungen und DevlsenvertrSgen • 

ANSI X9.17 -1985 "Financi al Institution Kev Management 

fWholesalel ". Dieser Standard definiert Ver- 
fahren (einschlieBlich eines Protokolls) zur 
Generierung, tJfbertragung und Verwendung von 
Chif frlerschiasseln ftir die Identif ikations- 
iiberprtifung und Chif f rierung. 

ANSI X9.19 - 198X " Financial Institution Retail Message Authen- 
tication " - Dieser Standard definiert ein Ver- 
feihren zur Identif ikationsiiberprufung von 
Finanzmeldungen fiir Transaktionen in geringen 
Mengen . 
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ANSI X9.23 - 198X 



ISO DIS 8583 



ISO DIS 8720 
ISO DP 8730 



ISO DP 8731 



ISO DP 8732 



"EncryiJtiion of Wholesale Financial Messages " . 
Dieser Standard definieri: ein Verfahren zur 
Chiffrierung groBer Mengen von Flnanzmeldun- 
gen, das die Vertraulichkeit gewShrleistet 
(z«B. bei -belegraf ischen Transfers, Akkredit:- 
iven usw. ) . 

"Bank Card Originated Messages - In-fcerchancre 
Message Specifications - Content for Financi- 
al Transactions". Dieser internationale Stan- 
dard definiert eine gemeinsame Schnlttstelle, 
aber die von einer Bankkarte ausgehende Mel- 
dungen beztiglich einer finanziellen Transak- 
tion zwischen privaten Systeiaen ausgetauscht 
werden k5nnen. Er definiert struktxir. Format 
imd Inhalt der Heldungen sowie Datenelemente 
iind ihre Werte. 
"Message Authentication" 

"Banking - Reguirements for Sta ndard Message 
Authentication ( Wholesale ^ " . Dieser interna- 
tionale Standard definiert ein Verfahren zur 
Identlf ikationsaberprfifung von Heldungen, die 
zwischen Geldinstituten ausgetauscht werden, 
mittels eines Meldungs-Identif ikatlonsCUber- 
prafungscodes (MAC) • 

" Banking - Approved Algorithms for Message 
Authentication - Part 1: DES--1 A lgorithm ", In 
diesem Teil von ISO 8731 geht es urn des Da- 
tenverschiasselungsalgorithmus ( DEA-1 ) als 
Verfahren zur Verwendung bei der Berechnung 
des Meldungs-Identif ikationsfiberprtifungscodes 
(MAC) . Teil 2 betrif ft Nicht-DEA-Algorithmen . 
" Banking - Kev Management Wholesale ". Dieser 
internationale Standard definiert Verfahren 
zur Verwaltung von Schlusselmaterial fur die 
Chiffrierung und Identif ikationsQberprafung 
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von Heldungen, die im Rahiaen von Massen- 
flnanztransaktionen ausget:ausch*t werden. 
ISO DP 9546 "Persona l Identification Number Management 

and Securitv Part 1 - PIN Protection Princi- 
ples an d Technicme ". Dieser Standard defi- 
niert das Minimxm an Sicherheitsvorkelirungen^ 
die ftlr eine ef fektive Verwaltung von PINs 
erforderlich sind. Es werden Standardmittel 
fOr den Austausch von PIN-Daten beschrieben. 

- 0>;)erslchtstabellen zu den Anwelsunaen und Makros 

In Fig. 86, Fig. 87 und Fig. 88 sind die Gleichungen fur die 
einzelnen CA-Anweisungen zusammengef aBt. 

- Ref erenz 1 iteratur 

1. GC31-2070-0: 4700 Finance Communication System, Controller 

Programming Library, Band 5, Cryptographic 
Programming 

2. ANSI for Information Systems - DBA - Modes of Operations 
ANSI X3. 106-1983 

3. ANSI Data Encryption Algorithm - ANSI X3. 92-1981 

4. Financial Institution Message Authentication (Wholesale) 
ANSI X9. 9-1986 

5. Financial Institution Key Management (Wholesale) 
ANSI X9. 17-1985 

6. R. C. Summers, Systems Journal, Band 23, Nr. 4, 1984, S. 
309 - 325, "An Overview of Computer Security" 

7. W. I,. Price, National Physical Laboratory Technical Memo DITC 
4/86, Januar 1986, "Physical Security of Transaction Devices" 

8. A. E. Winblad (Scindia National Laboratories), SAND85-0766C, 
Dezember 1985, "Future Developments in Physical Protection 
Against the Insider Threat" 
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9. John Horgan, IEEE Spectrxm, Jul! 1985, S. 30 - 41, "Thwarting 
the Information Thieves" 

10. T. H. DiStefano, NBS Special Publication 400-23, ARPA/NBS 
Workshop IV, Gaithersburg , MD, erschienen iia Marz 1976, 
"Photoemission and Photovoltaic Imaging of Semiconductor 
Surfaces" 

11. D. C. Shaver et al*, IEEE Electron Device Letters, Band. 
£DL<-4, Nr. 5, Mai 1983, "Electron-Beam Programmable 128K- 
Bit Wafer-Scale EPROM" 

12. A. Gercekci (Motorola), US-Patentschrift 4,394,750, 19. 
Juli 1983, "PROM Erase Detector" 

13. D. J. DiMaria, Proceedings of the International Topical 
Conference, Yorktown Heights, NY, Marz 1978, S. Panteli- 
des (Hrsg.), Pergamon Press, "The Physics of Si02 and its 
Interfaces" 

14. D. R. Young et al., J. Appl. Phys. 50(10), Oktober 1979, 
S. 6366-72, "Electron Trapping in Si02 at 295 and 77K" 

15. R. Singh et al., IEEE Trans, on Nuclear Science, Band NS- 
31, Nr. 6, Dezember 1984, S. 1518-23, "Total-Dose and 
Charge-Trapping Effects in Gate Oxides for CMOS LSI Devi- 
ces" 

16. R. Reich, IEEE Electron Device Letters, Band EDL-7, Nr. 
4, April 1986, S. 235 - 237, "Radiation-Dependent Hot- 

• Carrier Effects" 

17. David Chaum (Hrsg.), Advances in Cryptology, Proceedings 
of Crypto 83, Plenum Press, NY, 1984, "Design Concepts 
for Tamper Responding Systems" 
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ANSPRUCHE 

1. Ein Verfahren zur Oberprttf ung ^ daB far einen Chiffrier- 
schlCLssel angef orderte Schlilsselverwalttingsfunktlonen voia 
Urheber des SchlUssels in elnem Datenverarbeitxingssystem 
autorisiert worden sind, das Chif f rierserviceanf orderungen 
zur Verwaltung von Chif frierschlusseln verarbeitet, denen 
Steuervektoren zugeordnet sind, welche die Funktionen^ zu 
denen jeder Schiassel von seinexa Urheber ermdchtig-t wurde, 
definieren, wobei das Verfahren folgende Schritte umfaBt: 

EiDpfangen einer Chif f rierserviceanf orderung zur AusfCLhrung 
einer Schiasselverwaltungsfunktion an einem Chif f rierschltis- 
sel in einer Chif f riervorrichtung 4 mit einer sicheren Gren- 
ze 6, durch die ein Eingangspfad und ein Ausgangspfad 8 ver- 
lauft; 

Eiapfangen eines dem Chif f rierschlQssel zugeordnet:en Steuer- 
vektors (Fig. 10) und Prufung, ob der Steuervektor zu der 
durch die Chif f rierserviceanf orderung angef ordertie Schltls- 
selverwaltungsfunktion berechtigt; sowie 

Signalisieren 20, daB die SchlClsselverwaltungsfunkt:ion auto- 
risiert ist^ und Starten der angeforderten Schiasselverwal- 
tungsfunktion mit dem Chif f rierschiassel . 

2. Ein Verfahren gemaB Anspruch 1, das auBerdem folgende 
Schritte umfaBt: 

Speichern des Chif frierschiassels in verschiasselter Form in 
einer Speichervorrichtung 22, wobei der Chif frier schiassel 
unter einem Speicherschiassel verschiasselt wird, der ein 
logisches Produkt des zugeordneten Steuervektors und eines 
Hauptschlussels 18 ist. 
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3. Ein Verfahren gemaB Anspruch 2, bei dem auBerdem 

die Chiffrierserviceanforderung die Rekonstruktion des 
Chiffrierschiassels aus der Speichervorrichtung betrifft; 

die verschiasselt:e Form des Chif f rierschltissels aus der 
Speichervorrichtung empfangen xrnd unter dem Speicher- 
schlussel, der ein logisches Produkt des zugeordneten Steu- 
ervektors und des HauptschlUssels ist, dechiffriert wird. 

4. Ein Verfahren gemaB den vorausgehenden Anspr^chen, bei dem 
der Speicherschiassel das Exklusiv-ODER-Produkt des zugeord- 
neten Steuervektors und des Hauptschlussels ist. 

5. Ein Verfahren gemSB den vorausgehenden Ansprtichen, bei dem 
der zugeordnete Steuervektor mil: der verschlClssel'ten Form 
des Chif frierschliissels in der Speichervorrichtung gespei- 
chert wird. 

6- Ein Verfahren gemaB den vorausgehenden Ansprtichen, bei dem 
der zugeordnete Steuervektor Felder enthdlt, in denen auto- 
risierte Arten von Chif frier funktionen einschlieBlich 
Schltlsselverwaltxingsf unktionen , DatenverschlCLsselungs- bzw • 
DatenentschlCLsselungsfvinktionen und PIN-Verarbeitungsfunk- 
tionen definiert sind, und bei dem die Art der Schlusselver- 
waltungsfunktionen durch folgende Angaben naher bezeichnet 
wird: 

- Exportkontrolle und Verwendung; 

- Verbindungs^teuerung , die angibt, ob ein einem Chiffrier- 
schlussel zugeordneter Steuervektor bei der Obertragung 
vom Datenverarbeitungssystem an ein angeschlossenes fer- 
nes Datenverarbeitungssystem aufgrund der Merkmale des 
femen Datenverarbeitungssystems tlbergangen werden kann; 
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- Angabe, ob der zugeordnete Schiassel von einem ANSI-Da- 
t:enverarbei1:ungssyst:em verarbeitet werden kann« 

7. Eln Verfahren gemafi den vorausgehenden Ansprachen, bei dem 
der zugeordnete Steuervektor Felder enthait, in denen die 
Trennung von Schiasselchif f rierschlttsseln auf der Basis 
zweier sich gegenseitig ausschlieBender Verwendungszwecke 
erzwungen wird. 

8. Ein Verfahren gemaB Anspruch 7, bei dem die sich gegenseitiig 
ausschlieBenden Verwendungszwecke folgender Liste entnommen 
sind: 

- fiXr beglaubigte und nicht beglaubigte Schltissel; 

- ftir eine erste Art von Schiasselchif frierschltisseln mit 
Steuervektoren und eine zweite Art von Schlusselchif f- 
rierschlusseln ohne Steuervektoren; 

- fiir eine nur von Sendern verwendete erste Art von Schlus- 
selchif frierschliisseln und eine nur von EmpfSngern ver- 
wendete zweite Art von Schiasselchif frierschliisseln; 

- fur eine erste Art von Schiasselchif frierschiasseln, die 
far die Umwandlung von Schiasseln far die Versendung ohne 
die H5glichkeit zum Export vorhandener unter einem Haupt- 

wr schiassel gespeicherter Datenschiassel verwendet wird, 

und far eine zweite Art von Schiasselchif frierschiasseln, 
die far die Umwandlung von Schiasseln far die Versendung 
mit der M5glichkeit zum Export vorhandener unter einem 
Hauptschiassel gespeicherter Datenschiassel verwendet 
wird; 

- far eine erste Art von Schiasselchif frierschiasseln, die 
nur far den Export generiert werden konnen, und eine 
zweite Art von Schiasselchif frierschiasseln, die^ far eine 
lokale Verwendung und far den Export generiert werden konnen; 

- far eine erste Art von Schiasselchif frierschiasseln, die 
bei der Umwandlung ohne die Moglichkeit zur lokalen Ver- 
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wendung benut:zt werden k5nnen, und eine zwelte Arl: von 
SchltisselchiffrierschllLsseln, die bei der Umwandlung be- 
nu'tzt: werden kdnnen, und bel denen eine lokale Verwendung 
zuiasslg ist; 

- fOr eine erslie Art von Schltisselchif f rierschltisseln, die 
bei der Wiederverschlfisselung von Hauptschiasseloperatio- 
nen verwendet werden konnen, xind eine zweite Art: von 
Schltisselchif frierscliltisseln, die nicht: fur die Wieder- 
verschlQsselung von Haup'tschltisselopera'tionen verwendet: 
werden konnen. 

9. Ein Verfahren gemSB den vorausgehenden AnsprUchen, bei dem 
der zugeordnete Steuervektor ein Feld enthalt, in dem ange- 
geben ist, ob der Chif f rierschliissel einfache Oder doppellie 
LSnge besitzt. 

10. Bin Verfahren genSB den vorausgehenden AnsprCLchen zur Aus- 
ftihrung einer SchlQsselgruppengenerierungsfunktion, das au* 
Berdem folgende Schrit:t:e umfafit: 

Erzeugung einer Zufallszahl fQr den VerschliisselungsprozeB; 

Empfangen einer Chif f rierserviceanforderung Ober den Ein- 
gangspfad, tua mit: den ersten und zweiten Steuervektoren C3 
und C4 aus der Zufallszahl ein Schlfisselpaar zu generieren 
xind als Antwort darauf ein Berechtigungssignal an den 
Chif frierprozeB zu senden, das besagt, daB die Funktion zur 
Generiervmg eines Schlfisselpaares aus der Zufallszahl be- 
rechtigt: ist; 

als Antwort: auf das Berechtigungssignal Ausgabe der Zufalls- 
zahl als erster generierter Schlussel in einer chiffrierten 
Form, in der die Zufallszahl unter einem Schlussel chiff- 
riert wird, der ein logisches Produkt des ersten zugeordne- 
ten Steuervektors C3 und eines ersten Schldssels Kl ist; 
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als Antwort auf das Berechtiigungssignal Ausgabe der Zufalls- 
zahl als zweit:er generierter Schldssel in einer chif f rierten 
Form^ in der die Zufallszahl unter einem Schiassel chiff- 
riert wlrd, der ein logisches Prodxikt des zweiten zugeord- 
neten S'teuervektiors C4 und eines zweitien SchlUssels K2 ist. 

11. Ein Verfahren gemaB Anspruch 10 zur Erzeugxing zweier Schlus- 
sel, die im Da'tenverarbeit:ungssys1:em verwendbar sind, wobei 
der ers-te Schiassel Kl und der zweite SchltLssel K2 den 
Hauptschiassel bilden, der die Verwendung im lokalen Dat:en- 
verarbeitungssystem enaoglicht'. 

12. Ein Verfahren gemaB Anspruch 10 zur Erzeugung eines ersten 
generierten SchlUssels, der nur in dem Datenverarbeitungs- 
system benu-tzt: werden kann, das ein lokales Datenverarbei- 
-tungssystem ist, und eines zwei1:en generierten Schltissels, 
der an ein an das lokale System angeschlossenes femes Da- 
tenverarbeitungssystem exportiert werden kann, wobei der 
erste Schiassel Kl der Hauptschiassel ist, der die Benutzung 
im lokalen Datenverarbeitungssystem ermoglicht, und der 
zweite Schiassel K2 ein Schiasselchif f rierschiassel KEK2 mit 
einem zugeordneten Steuervektor C2, und der Steuervektor C2 
zum Export an das feme Datenverarbeitungsystem, berechtigt. 

13. Ein Verfahren gemSB Anspruch 10 zur Erzeugung eines ersten 
generierten Schiassels, der an ein erstes an das lokale Da- 
tenverarbeitungssystem angeschlossenes femes Datenverarbei- 
tungssystem exportiert werden kann, und eines zweiten gene- 
rierten Schiassels, der an ein zweites an das lokale Daten- 
verarbeitungssystem angeschlossenes femes Datenverarbei- 
tungssystem exportiert werden kann, wobei der erste Schias- 
sel Kl ein Schiasselchif frierschiassel KEKl mit einem zuge- 
ordneten Steuervektor CI ist und der Steuervektor Cl zum 
Export an das erste ferne Datenverarbeitungssystem berech- 
tigt, und wobei der zweite Schiassel K2 ein Schiasselchif f- 
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rierschliissel KEK2 mit einem zugeordneten Steuervektor C2 
1st und der Steuervektor C2 zum Export an das zweite feme 
Datenverarbeitungssystem berechtigt. 

14. Ein Verfahren gemSB Anspruch 10 zur Erzeugung eines ersten 
generierten Schtissels, der nur in dam Datenverarbeitungssy- 
stem benutzt werden kann, das ein lokales Datenverarbei- 
tungssystem ist/ imd eines zweiten generierten Schiassels, 
der von einem an das lokale System angeschlossenen Benutzer- 
ger&t importiert werden kann, wobei der erste Schiassel Kl 
der Hauptschltissel ist, der ausschlieBlich zur Benutzung im 
lokalen Datenverarbeitungssystem berechtigt, und der zweite 
Schiassel K2 ein Schiasselchif f rierschlQssel KEK2 mit einem 
zugeordneten Steuervektor C2 ist und der Steuervektor C2 zum 
Import vom Benutzergerat in das lokale System berechtigt. 

15. Ein Verfahren gemSB Anspruch 10 zur Erzeugung eines ersten 
generierten Schlussels, der von einem an das lokale Daten- 
verarbeitungssystem angeschlossenen Benutzergerat impoxrtiert 
werden kann, und eines zweiten generierten Schltlssels, der 
an ein an das lokale System angeschlossenes femes Datenver- 
arbeitungssystem exportiert werden kann, wobei der erste 
Schiassel Kl ein Schiasselchif frierschiassel KEKl mit einem 
zugeordneten Steuervektor CI ist und der Steuervektor CI zum 
Import vom Benutzergerat berechtigt, und wobei der zweite 
Schiassel K2 ein Schiasselchif frierschiassel KEK2 mit einem 
zugeordneten Steuervektor C2 ist und der Steuervektor C2 zum 
Export an das zweite feme Datenverarbeitungssystem berech- 
tigt. 

16. Ein Verfahren gemSB den vorausgehenden Ansprachen zur Durch- 
fahrung einer Wiederverschiasselung vom Hauptschiassel , das 
auBerdem tiber Mittel zur Prafung des dem Schiasselchif frier- 
schiassel KEK zugeordneten Steuervektors CI verfagt, urn si- 
cherzustellen, daB die Wiederverschiasselung vom Haupt- 
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schltissel autorisiert ist, xind zur Prufung, ob der dem 
Schlttssel K zugeordnet:e Stieuervek^or C2 zim Expor-k des 
SchlCLssels K anhand der Wiederverschltlsselung vom Haupt- 
schldssel berechtilgl:. 

17. Ein Verfaliren gemdS Anspruch 16, bei dem der zugeordnete 
Steuerveklzor C3 dem fernen Prozessor selektiv ermoglicht, 
den Chif frlerschliissel K wiederzuexportieren . 

18. Bin Verfahren gemSB Anspruch 16, bei dem der dem Schltissel- 
chif frierschlttssel KEK zugeordnete Steuervektior CI geprttft 
wird, um sicherzustellen, daB die Funktion zur Wiederver- 
schlusselung zum Haup-tschiassel autorisiert ist. 

19. Ein Verfahren gemSfi Anspruch 16, bei dem der vom fernen Da- 
tenverarbeitungssystem empfangene Steuervektor C3 selektiv 
einen weiteren Wiederexport des Schlussels K vom lokalen 
Datenverarbeitungssystem erlaubt. 

Ein Verfahren gemaB Anspruch 16, bei dem der Steuervektor C2 
vom lokalen Datenverarbeitungssystem selektiv so gesetzt 
wird, daB ein weiterer Wiederexport des Chif frierschltissels 
K vom lokalen Datenverarbeitungssystem erlaubt ist. 

Ein Verfahren gemSB den vorausgehenden Anspr lichen zur Durch- 
fiihrung einer SchltLsselumwandlungsf unktion wobei der Steuer- 
vektor CI, der dem Importschiassel-Chif frierschlussel KEKl 
zugeordnet ist, gepruft wird, iim sicherzustellen, daB KEKl 
als Importschltlssel-Chiffrierschlfissel bei der Schiasselum- 
wandlungsfunktion autorisiert ist, und wobei der Steueirvek- 
tor C2, der dem ExpoirtschlCLssel-Chif f rierschltissel KEK2 zu- 
geordnet ist, geprtift wird, xim sicherzustellen, daB KEK2 als 
ExportschlQssel-Chif f rierschiassel bei der Schltisselumwand- 
lungsfunktion autorisiert ist. 
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Bin Verfahren gemSB Anspruch 1 bis 9 zur DurchfUhrung einer 
Funktion zur Wiederverschliisselung vom Haupt:schlussel mi't 
einer geringeren Exportberechtigung fttr den EmpfSnger, wobei 
der dem Schlttsselchif frierschlOssel KEK 2ugeordnete Steuer- 
vektor CI gepruft wird^ um sicherzustellen, daB die Funktion 
zur Wiederverschiasselung vom Hauptschiassel autorisiert 
ist, und wobei der dem Schliissel K zugeordnet:e Steuervektor 
C2 zum Export des Schiassels K mittels der Funktion zur Wie- 
derverschltisselung vom Hauptschlussel berechtigt. 

Ein Verfahren gem^B den vorausgehenden Anspruchen, bei dem 
der zugeordnete Steuervektor ein Feld enthalt, in dem die 
Verbindungssteuerung definiert wird, die festlegt, ob ein 
einem Chif f rierschlttssel zugeordneter Steuervektor bei der 
Obei^tragung von Datenverarbeitungssystem an ein daran ange- 
schlossenes fexmes Datenverarbeitungssystem aufgrund der 
Herkmale des fernen Datenverarbeitungssystems Ubergangen 
werden kann. 

Ein Verfahren gemdB den vorausgehenden AnsprUchen, bei dem 
der zugeordnete Steuervektor ein Feld enthSlt, in dem ange- 
geben ist, ob der Chif frierschldssel einfache oder doppelte 
Lange besitzt, 

Ein Datenverarbeitungssystem, das Chif f rierserviceanforde- 
rungen fttr die Verwaltung von Chif frierschlttsseln verarbei- 
tet, denen Steuervektoren zugeordnet sind, welche die Funk- 
tionen definieren, zu deren Auftthrung die einzelnen SchlQs- 
sel von ihrem Urheber ermSchtigt wurden, und das folgende 
Komponenten umfaBt: 

eine Chif f riervorrichtung 4 mit einer sicheren Grenze e, 
dxirch die ein Eingangspfad 8 zxim Empfang der Chif f rierservi- 
ceanforderungen, der Chif f rierschlttssel und der zugeordneten 
Steuervektoren sowie ein Ausgangspf ad 8 fttr Antworten darauf 
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veriauft, wobei sich innerhalb der Grenze 6 ein an den Ein- 
gangspfad gekoppelter Speicher 10 fOr Chif f rieranweisungen, 
ein Mittel 14 zur PrQfung der Steuervektoren und ein an den 
Anweisungsspeicher gekoppeltes Chif f rierverarbeitungsmittel 
16, sowie ein an das Verarbeitungsmittel 16 gekoppelter 
Hauptschiasselspeicher 18, der einen sicheren Ort fiir die 
Ausfmirung von SchlCksselverwaltungsf unktionen als Antwort 
auf die empfangenen Serviceanforderungen bietet, befindet; 

wobei der Chif frieranweisungsspeicher 10 aber den Eingangs- 
pfad 8 eine Chif f rierserviceanf orderung zur Durchfuhrung 
einer SchlUsselverwaltungsf unktion mit einem Chiffrier- 
schlussel empfSngt; und 

das Mittel 14 zur PrUfung der Steuervektoren einen an den 
Eingangspfad 8 gekoppelten Eingang zum Empfang eines dem 
Chiffrierschlussel zugeordneten Steuervektors (Fig. lO) ent- 
halt, sowie einen an den Chif frieranweisungsspeicher 10 ge- 
koppelten Eingang zuia Empfang von Steuersignalen zum Starten 
der Prufung, ob der Steuervektor zu der von der Chiffrier- 
serviceanforderung angeforderte Schlusselverwaltungsfunktion 
berechtigt; 

das Mittel 14 zur Prtifung der Steuervektoren einen an einen 
Eingang des Chif f rierverarbeitungsmittels 16 angeschlossenen 
Autorisierungsausgang 20 besitzt, tiber den signalisiert 
wird, daB die SchlQsselverwaltungsf unktion autorisiert ist, 
deren Empfang durch das Chif frierverarbeitungsmittel 16 die 
AusfQhrung der angef orderten Schlusselverwaltungsfunktion 
mit dem Chif frier schlttssel startet. 
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FIG. 4. 
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FIG. 7. 
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FIG. to. 
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FIG. 63. 



Schltisselverwaltung- 

Aufgabe CA-Anweisungen 


Haupt- 
schltlssel 
initial . 


- Manuel le Eingabe des HS LFHK, CMKP, CVP 

(nicht obligatorisch, 

- Aktivierung des HS s. Hinweis 1), SMK 


KEK 

xnxt lai • 


- Manuel le Eingabe von KEKs LFKP, KCP, CVP (nicht 
uber die phys. Schnittstelle obligatorisch, s. 

Hinweis 1) 

- Eingabe von KEKs Uber die 
Programmschnittstelle EMK 


Unchiff . 
Oder 

(iin)chiff • 

SchlUssel 

generieren 


- Generieren xinchiffr. Schl. KGEN 
Qber Programmschnittstelle 

• Generieren unchiffr. Schl. KGEN, EMK 
zur Versendung durch Kurier 
und fQr lokale Speicherung 
in chif frierter Form 


Schltissel 

ftir 

lokale 

Verwen- 

dung 

generieren 


- Generieren eines Schl. far KGEN 
lok. Verw. und Speicherung 

- Generieren zweier Schiassel- 
exemplare far lokale Ver- 
wendung, mit verschiedenen 
Attributen ; Schlusselart : 

a . Daten/Vertraulichkeit GKS ( op-op-Modus ) 

b. Daten/MAC GKS ( op-og-Modus ) 

c. Daten/andere Unterarten Von !CA uiitersagt 

d. KEK Von ^CA untersagt 

e. PIN-Schiassel Von :CA untersagt 



Hinweise: l. Die Anweisungen L.FMKP, CMKP, LKP, CKP und CVP 

sind nicht obligatorisch. Jedes System kann seine 
eigene systemspezif ische Schlussellade-Anweisung 
besitzen. 
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Schiasselvez^altungs- 



CA-Anweisungen 



SchlClssel 

lokale 
Verwendung 
und Export 
generieren 



- Zwei Schiasselexemplare mit 
versch» Verwendungsattribu- 
ten erstellen, eins fur 
lok. Verw. und eins far 
Export uber CV-Kanal. 
Schltisselart : 

a . Daten/Koiapatibilitat 

b. Daten/andere Unterarten 

c. KEK 

d. PIN/PEK 



- Zwei Schlusselexeiaplare mit 
versch . Verwendxmgsattr ibu- 
ten erstellen, eins fur 
lok. Verw. und eins far 
Export Uber CV=0-Kanal. 



Nicht von CA unterst. 
GKS ( op-ex-Modus ) 
GKS (op-ex-Modus) 
GKS (op-ex-Modus) 



Nicht von CA unterst. 



Ein Schiasselexemplar far 
lok. Verwendung und Export 
Ober CV-Kanal generieren. 



KGEN und RFMK 



Ein Schlusselexemplar far 
lok. Veirwendung und Export 
Ober CV=0-Kanal generieren. 
Schiasselart : 

a. Daten/Kompatibilitelt 

b. Daten/andere Unterarten 
c • KEK 

d. PIN-Schiassel 



KGEN und RFMK 
Von CA untersagt 
Von CA untersagt 
Von CA untersagt 
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Schliisselverwal-tungs- 
Aufgabe 



C A- An we i sungen 



SchlQssel 
far 
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Verwendiing 
und Export 
an n Knoter 
generieren 
(n > 1) 



Zwei Schiasselexemplare mit 
versch . Verwendungsattr ibu- 
ten generieren, eins fCir 
lok. Verw* und eins fttr 
Export an n Knoten Ober CV- 
Kanal . 



Zwei Schltisselexemplare mit 
versch . Verwendungsattr ibu- 
ten generieren, eins fQr 
lok. Verw. und eins fur 
Export an n Knoten liber 
CV=0-Kanal • 



Nicht von CA unterst. 



Nicht von CA unterst. 



Ein SchlCLsselexemplar far 
lok. Verwendung und Export 
an n Knoten aber CV=0-Kanal 
generieren . Schlusselart : 

a . Daten/Kompatibilitat 

b. Daten/andere Unterarten 

c. KEK 

d. PIN-Schlussel 
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Breaking Public Key Cryptosystems 
on Tamper Resistant Devices in the Presence 
of Transient Faults 



F. Bao, R. H. Deng, Y. Han, A. Jeng, A. D. Narasimhalu, T. Ngair 
Institute of Systems Science 
National University of Singapore 
{baofeng, deng, yfhan, jeng, desai, teowhin}@iss.nus.sg 

Abstract. In this paper we present a method of attacking public- key 
cryptosystems (PKCs) on tamper resistant devices. The attack makes 
use of transient faults and seems applicable to many types of PKCs. 
In particular, we show how to attack the RSA, the ElGamal signature 
scheme, the Schnorr signature scheme, and the DSA. We also present 
some possible methods to counter the attack. 

1 Introduction 

In September 1996, Boneh, DeMillo and Lipton from Bellcore announced a new 
type of cryptanalytic attack against RSA-like public key cryptosystems on tam- 
per resistant devices such as smart card [4]. However, technical details of the 
Bellcore attack were withheld in that announcement and was released only at 
the end of October 1996. On 18th October 1996, Biham and Shamir published 
their attack, called Differential Fault Analysis (DFA), to secret key cryptosys- 
tems [5], such as DES. Some concrete ideas on how their attack works were 
revealed in their announcement. 

Our work here was motivated first by the Bellcore announcement and then 
by the DFA announcement. Our first report on attacking RSA and some coun- 
termeasures were posted in the Internet on the 23rd and 24th October 1996 [2]. 
Right after that, A. K. Lenstra sent us his memo [9] on attacking RSA in Chi- 
nese remainder in a private communication. Subsequently, we released a more 
complete research note on attacking RSA and the ElGamal signature scheme on 
the 29th October 1996 [3]. Recently, Joye and Quisquater extended the Chinese 
remaindering attack to LUC and Demytko cryptosystems [8]. 

In this paper, we continue our earlier effort of attacking public-key cryptosys- 
tems (PKCs) on tamper resistant devices. Our attacking model makes use of the 
transient faults and seems applicable to many types of PKCs, such as RSA-like 
schemes and discrete logarithm based schemes. As in the Bellcore and DFA an- 
nouncements, we assume that by exposing a sealed tamper resistant device such 
as a smart card to certain physical effects (e.g., ionizing or microwave radiation), 
one can induce with reasonable probability faults at random bit locations in a 
tamper resistant device at some random intermediate stage in the cryptographic 
computation. T?he faults in the random bit locations do not influence the code 



itself, i.e., the progrcim itself does not crash, and only some of the values it op- 
erates upon are affected. It is further assumed that the attacker is in physical 
possession of the tamper resistant device and that he can repeat the experiment 
with the same private key by applying external physical effects to obtain faulty 
outputs. 

The organization of the paper is as follows. In Section 2, we first report our 
attacks to RSA, and then present Lenstra's attack to RSA implemented based on 
the Chinese Remainder Algorithm (CRA). In Section 3, we show how to break 
discrete logarithm based schemes such as the ElGamal signature scheme [7], the 
Schnorr signature scheme [11], and the Digital Signature Algorithm (DSA). At 
the end of each section, we also give some possible methods to counter the attack. 

When this manuscript was near its completion, Dan Boneh kindly sent us 
their paper [6] in a private communication. Throughout this paper, we will make 
remarks about the relation between their paper and our work wherever it is 
appropriate. 

2 Attacking the RSA Scheme 

Let n = pqhe the product of two primes p and q in RSA, e be the public exponent 
which is publicly known and d be the private exponent which is stored inside 
the tamper resistant device. Our attacks to RSA will be described in terms of 
ciphertext decryption although they can also be described in terms of signature 
generation. 

Let m be a plaintext, then the corresponding ciphertext is 

c = mod n 

Denote the binary representation of the private exponent as dili\dt^2\ " - \di\ 
• ' '\d\\do, where di, taking value 1 or 0, is the ith bit, t is the number of bits in 
ri, and x\y denotes concatenation of x and y. Further, we denote 

a = c^' mod n, for i = 0, 1, 2, ^ — 1 

Given c and d, the corresponding plaintext m can be expressed as 

m = c** mod n = cfSi • -c^' • • cf^c^^ mod n 

2.1 Attack I 

For the sake of simplicity, here we assume that in decrypting a ciphertext a 
single bit error is induced in Ci, for a random i 6 {0, l,2,...,i — 1}. Denote the 
corrupted value as cj. Then the output from the tamper resistant device is 

m' = cfSx ' • • c\^' • ' ' c^** mod n 
The attacker now has both m and m' so that he is able to compute 



which equals ^ mod n if d< = 1 or equals 1 if d< = 0. (From now on we assume 
that every number we meet is relatively prime with respect to n, hence we can 
compute its inverse.) The attacker can easily compute all the possible ^ mod n 
values in advance (there are a total of such values since cj has t possible 
values). Now the attacker compares all these values with ^ mod n. Once a 
match is found, he knows i and then knows that di is 1. 

This simple example is just meant to illustrate the basic ideas of our attack. 
It showed that one bit fault at certain location and time can cause fatal leakage 
of the private key. 

The example above assumes that only one Ci contains a single bit error and 
that there is no error propagation from Cj to Cj, j > i. The effects of such error 
propagation were considered in [6] and [9]. As a result, the error models in [6] and 
[9] are more complicated and probably more realistic than ours. From practical 
viewpoint, our model can be explained as the model for "read" error. That is, Ci 
is mistaken as when it is multiplied to the value for computing but remains 
correct when it is squared to obtain Ci+i- 

Another issue is that we can actually consider multi-bit faults instead of 
one bit fault only. In this case, we need to compare m* /m mod n with many 
more possible values. For the case of two-bit faults, m' /m mod n should be 
matched with all the values c\^c\^/ci^Ci^ mod n (21,^2 € {0, 1,2, ...^t — 1}) and 
cj'/ci mod n, where c" denotes the value of two bit errors in ci. In this case, 
0{t^) possible values should be generated in advance and matched (as well as 
those djci mod n) with the value m! jm mod n. In general, about i^^ values 
need to be generated in the situation where j-bit faults may take place. 

2.2 Attack II 

Suppose that one bit in the binary representation of d is flipped and that the 
faulty bit position is randomly located. An attacker arbitrarily chooses a plain- 
text m and computes the ciphertext c. He then asks the tamper resistant device 
to decrypt c and induces a random bit error in d by applying external physical 
effects to the device. Assuming that di is changed to its complement d\^ then the 
output of the device will be 

m' = cfl"/ - - . cf ■ • . c?^c^° mod n 
Since the attacker now possesses both m and m', he can compute 



Obviously, if Im = l/c^ mod n, then d,- = 1, and if m! jm ~ Ci mod n, then 
di = 0. Therefore, the attacker can compare m! /m mod n to c,- mod n and 
cj^ mod n, for t = 0, 1, 1, in order to determine one bit of d. He repeats the 
above process using either the same plaintext/ciphertext pair or using different 
plaintext/ciphertext pairs until enough information in d is obtained. 

Suppose one bit error takes place randomly in d in each fault test. Then by 
basic probabilistic counting, we have the following: If we take ilogt fault tests, 
with a probability larger than hcdf, every bit of d is disclosed. 

It should be noted again that this attack applies to the case of multiple bit 
errors. Assuming two bit faults. The attacker needs to compare m* /m mod n 
with acj mod n, Ci/cj mod n, and \/(ciCj) mod n, for all i, j € {0, 1,2, ...,^-1}. 
In this case, matching m' /m mod n with all these values has a complexity of 
0(t^) instead of 0[t) as in the single error case; while with large possibility one 
obtain two bits, di and dj, once a successful match is obtained. 

2.3 Lenstra's Attack on RSA with Chinese Remainder Algorithm 

Boneh, DeMillo and Lipton [6] gave an attack on RSA implemented with the 
CRA. Their attack requires two signatures of a given message: one correct sig- 
nature and one faulty signature. Lenstra independently worked out a similar 
attack against RSA with CRA which requires only one faulty signature of a 
known message [9]. In the following, we briefly outline Lenstra's attack. 

The signature s of a message m equals mod n and thus 5^ mod n is again 
equal to m mod n. It is well known that s can be computed by computing 

u = mod p and v = mod 9, 

and by combining u and v using the CRA. If a fault occurs in the course of 
the computation of the signature, the resulting value, denoted as s', will most 
likely not satisfy m = s'® mod n. If, however, the fault occurred only during the 
computation of say, u, and if v and the CRA were carried out correctly, then the 
resulting faulty signature s* satisfies s'^ = m mod but the same congruence 
mod p does not hold. Therefore, q divides s'^ — m but p does not divide s'^ — m. 
so that a factor of n may be discovered by the recipient of the faulty signature 
s' by computing the greatest common divisor of n and s'^ — m. This attack is 
very powerful since it requires only one faulty signature and it works under a 
general fault model. 

2.4 Some Possible Count ermeasures 

There may be a variety of attacks to PKCs by inducing faults. The means of 
breaking a PKC can be devised to be dependent on the specific PKC algorithm 
as well as on its implementation. Generally speaking, countermeasures to such 
attacks are relatively insensitive to both the implementation of a PKC and the 
attacking scenarios. Here we envisage two general approaches to counter such 
attacks, one is based on the principle of "check and balance" and the other 



based on the principle of "information hiding". The former can be done by 
checking/verifying the result before sending it to the outside world and the latter 
can be achieved by introducing some randomness in the intermediate stages of 
the cryptographic computation. 

a) The attacks may be avoided by calculating the output 2 times and matching 
the two results. However, this approach doubles the computational time. As 
pointed out in [4], this double computation method also avoids their attack. 
The weakness of this counter measure is that it slows down the computation 
by a factor of 2, which is "not accepted for some applications" [4], 

b) In many cases, the encryption key e is usually small. So we can verify the 
result by checking m'^ = c mod n? It is much more efficient than the double 
computation approach if e is small. This approach was also pointed out 
independently by Lenstra. 

c) In some protocols for digital signature, a random string is chosen by the 
smart card and concatenated to a message m which is to be signed by the 
smart card. For example, m is a 412 binary string given to the smart card. 
The smart card randomly chooses a 100 bit number r and the output is 
(m|r)'' mod n. Since r is different each time, the attack does not work in 
such case. 

d) In the case where e is large and where the tamper resistant device is required 
to compute mod n, the following efficient method may be used to counter 
the attack. The tamper resistant device generates a random number r and 
computes mod n. This can be done in advance, i.e., before c is input and 
when the device is idle. To compute mod n, the device first computes 
rc mod n, then (rc)^ mod n, and finally ^^^} mod n. If no fault takes place, 
the output is obviously correct. If any fault takes place, the output is masked 
by r. Since r is unknown to the attacker and different for every decryption, 
our attack does not work. For the example, in the case of Attack II, if di is 
0 and is 1, then m* /m = r'-^'cj mod n. Since r is unknown to the attacker, 
the ratio is useless to him. 

It should be pointed out that a) - d) work against our attacks while only a) 
- c) work against Lenstra's attack. 

3 Attacking Discrete Logarithm Based Schemes 

The general concept of attacking the RSA scheme can be applied to attack 
against discrete logarithm based public key cry ptosy stems. In the following, 
we show our attacks to the ElGamal signature scheme, the Schnorr signature 
scheme, and the DSA. Throughout this section, we will denote a signer's private 
key as x and its binary representation as Xi-i\xt-2 \ - - • \xi\' • - x\\xq^ where t is 
the number of bits in x and Xi is the ith bit of x. The private key is kept inside a 
tamper resistant device and the corresponding public key can be made available 
to everyone. 



The general steps followed by an attacker are as follows: 1) the attacker 
applies external physical effects to induce some bit errors at random locations in 
X and then obtains a faulty signature, 2) he performs some computations on the 
faulty signature to uncover part of the private key x. The attacker repeats steps 
1) and 2) until he uncovers the binary representation of x or a sufficiently large 
number of bits that allow him to discover the rest of x by brute force. To keep 
the paper compact, we will only show steps 1) and 2) in the following, without 
explicitly showing the loops of the attack. 

To simplify the description, we first show the attacks for the case of single 
bit error. We then briefly discuss the case of multiple bit errors. 

3.1 Attacking the ElGamal Signature Scheme 

In the ElGamal signature scheme [7], to generate a private and public key pair, 
we first choose a prime p, and two random numbers, g and x, such that both g and 
X are less than p. The private key is x and the public key is {y = g^ mod p^g,p). 

To generate a signature on a message m, the signer first picks a random k 
such that k is relatively prime to p — 1. She then computes 

w = g^ mod p and 5 = (m — xw)/k mod (p — 1) 

The signature is the pair w and s. To verify the signature, the verifier confirms 
that 

y'^w^ = g'^ mod p. 

Assume that Xj in x is changed to its complement xj during the process of 
signing of a message m. We denote the corrupted x as x' due to the flip of Xj. 
Then the outputs of the device will be 

w = g^ mod p and s' = {m — x'w)/k mod (p — 1) 
Using w,s\m^ and the signer's public key (yiP^g), the attacker computes 
T = y'^w'' mod p = g'^g'^^''-'''^ mod p. 
Let Ri = g^'^* mod p for i = 0, 1, 2, ^ — 1. Then, we have 

TRi = g"^ mod p, if x^ = 0 
(since for x, = 0 we have x — x' = — 2*) and 

T 

— = g"" mod p, if Xi = 1 
Hi 

(since for Xj = 1 we have x — x' = 2^). The attacker computes TRi and T/Ri 
and tests to see if either TRi or T/Ri equals g"^ mod p. for i = 0, 1, .... * — 1. If 
a match is found, then one bit of x is found. 



3.2 Attacking the Schnorr Signature Scheme 

In the Schnorr signature scheme [11], to generate a private and public key pair, 
we first choose two primes, p and such that p = 4- 1 for a reasonably 
large q. We then select a number g not equal to 1, such that = 1 mod p. 
The signer's private key is a random x less than and the public key is {y = 
g-"" mod p,g,p,q)- 

To generate a signature on a message m, the signer first picks a random k 
that is less than q. She then computes 

w = g^ mod p,e = h{m\w) and s = ex + k mod q, 

where /i is a secure one-way hash function that outputs a number less than q. 
The signature is the pair e and s. Because 

{g^y^ mod p) - w, 
to verify the signature, the verifier confirms that 

h{m\{g^y^ mod p)) = e 

During the computation of s, assuming that Xi in x is flipped to x^ and 
denote the corrupted x as x'. Then the outputs of the device will be 

e = h{m\w) mod p and s' = ex' 4- k mod q 

Using e, 5',m, and the signer's public key (y^p^g^q), the attacker computes 

T = g^'y^ = wg^^''-""^ mod p 

Let = mod p for i = 0, 1,2,.,.,^ — 1. It is easy to see that TRi = 
^^e(x'-x+'2*) niod p and T/Ri = wg^^^ -x-2*) ^^q^ p Then we have 

h(m\{TRi mod p)) = e, if xi = 1 
(since for = 1, we have x' — x = — 2* and then TRi = w mod p), and 
h(m\(T/Ri mod p)) = e, if Xj = 0 

(since for x, = 0, we have x' — x = 2* and then T/Ri = w mod p). Therefore, 

by iterating through different i and matching e with h{7n\{TRi mod p)) and 
h{m\{T/Ri mod p)), the attacker can discover the ith bit, x^, of the private key 

X. 

In [6], Boneh, DeMilio and Lipton gave an attack against the Schnorr iden- 
tification scheme [11], In their attack, it was required that 1) the verifier uses 
the same challenge e (which plays the same role as the e in the Schnorr sig- 
nature scheme) in all invocations of the identification protocol without being 
detected by the prover's tamper resistant device, and 2) a bit error is introduced 
in the random number k (which plays the same role as the k in the Schnorr 
signature scheme). Because of these two requirements, their attack can not be 
applied to break the Schnorr signature scheme. On the other hand, our attack to 
the Schnorr signature scheme can be applied to break the Schnorr identification 
scheme with little modification. 



3.3 Attacking the DSA 

In the DSA, to generate a private and public key pair, we first choose a prime 
p such that p = 2^ + 1 for a reasonably large prime q. We then compute g = 
5(p-i)/7 mod p, where 6 is any number less than p — 1 such that (6(p~^)/9 mod p) 
is greater than 1. The signer's private key is x, a random number less than q, 
and the public key is (y = mod p,g,p,q)- 

To sign a message m, the signer first picks a random k that it is less than q. 
She then computes 

w = g^ mod p mod q and s = (e + wx)/k mod 

where e = h{m) with h being a secure one-way hash function that outputs a 
number less than q. The signature is the pair w and s. To verify the signature, 
the verifier confirms that 

^ = giue mod q)yiuw mod g) ^ ^ 

where u = 1/s mod q. 

The attacker applies external physical effects to the tamper resistant device 
and at the same time asks the device to sign a message m. During the process 
of calculating 5, we assume that the ith bit of x is changed from Xi to its 
complement xj. Let x' denote the corrupted x due to the flip of Xi. Then the 
outputs of the device will be 

w = g^ mod p mod q and 5' = (e + wx*)/k mod q 

Using w, u' = mod q, m, and the signer's public key (y,p, g* q), the attacker 
can compute e = h(m) and 

J. ^ ^(u'e mod q)y(u'w mod g) = g{u'(e+xw) mod g) ^ ^ 

Let Ri = ^("'"'2' mod p mod g for i = 0, 1,2, ..,,t - 1. Then we have 

TRi = giu'{e-\-w{x-\-r)) mod ,) j^^^ ^ j^od g 
T/i?^ = ^("'(e+t«;{x-2*)) mod 9) j^^^ ^ j^od q. 

It is easy to show that 

TRi = mod p mod g, if Xj = 0 T/Ri = it; mod p mod ^, if Xj = 1 

So by iterating through different i and matching w with Til,- mod p mod g and 
T/Ri mod p mod 9, the attacker can discover the value of Xf. 

3.4 Multiple Bit Errors 

Extension of the above methods in attacking discrete log based digital signature 
schemes to the cases of multiple faults in x is straightforward. In the case of single 
fault, the Rs, denoted as Ri in the above single bit error case, each has a single 
argument i. Their computation and subsequent comparison is of complexity 
0{2t), In the case of j > 1 faults in x, the Rs, which we will denote as i?ii,i2,...,ij, 
will each have j arguments and their computations and subsequent comparisons 
are of complexity 0{{2ty). 



3.5 Countermeasures 

The countermeasure achieved through double computation as mentioned in sec- 
tion 2.4 also applies to the attacks presented in this section. 

Another countermeasure to the attack against discrete log based signature 
schemes is that the tamper resistant device stores both x and l/x, where x is 
used in the computation of s and \/x is used to check the correctness of s. As 
an example let's consider the Schnorr signature scheme. Right after computing 
s' = ex' + mod q, the device verifies the value of s' by comparing e with 
(5' — k){\/x) mod q. If these two values are the same, the result is considered 
correct; otherwise, the device is reset. 

In general, to prevent corrupted variables from being used in a calculation and 
subsequently causing breaking of a cryptosystem, we suggest that the variable 
and its inverse be stored somewhere before the calculation takes place. The 
variable is used for the calculation and its inverse can be used to verify the 
result of the calculation. 

To illustrate the above concept, let's again consider the Schnorr signature 
scheme. Suppose we want to make sure that the correct values of both x and 
k are used in the calculation of 5 = ex H- fc. The tamper resistant device stores 
X, 1/x, fc, 1/A: somewhere before the calculation starts. After computing s' = 
ex' -h k', the device checks to see if e = k{s'{l/k) - l)(l/x). The value s' is 
considered correct only if the equality holds. 

4 Concluding Remarks 

The attack to public- key cryptographic . schemes on tamper resistant devices 
presented in this paper makes use of transient faults. Our attacking model is 
independent of the implementation of a specific cryptosystem and seems to be 
applicable to breaking large classes of public-key cryptosystems. In particular, 
we showed how to break the RSA, the ElGamal signature scheme, the Schnorr 
signature scheme, and the DSA. 

This attack highlighted that hardware faults can cause fatal leakage of the 
private/secret key values and may eventually lead to breaking of a cryptosystem. 
Therefore, it is important to take fault tolerance into serious consideration in 
the design of cryptosystems and to strike a balance between low overhead and 
high robustness. As a first step, we have proposed some methods to counter our 
attack. It should be noted that there are many other ways of breaking tamper 
resistant devices in addition to the ones outlined in this paper. In general, design 
of fault tolerant tamper resistant devices is a very challenging problem. Readers 
interested in getting more information in this area are refereed to the excellent 
paper by Anderson and Kuhn [1]. 
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